Введение
BEC (Business Email Compromise) – сложная форма целевого мошенничества, при которой злоумышленник взламывает или имитирует корпоративный email-аккаунт (как правило, руководителя, бухгалтера или юриста) для перенаправления финансовых транзакций или получения конфиденциальных данных.
По данным ФБР США, BEC является одним из самых дорогостоящих видов киберпреступлений: ежегодные потери мирового бизнеса от BEC исчисляются миллиардами долларов. Российский бизнес также регулярно сталкивается с такими атаками, особенно в банковском, строительном и торговом секторах.
История и контекст
BEC оформился как отдельная категория атак около 2013 года с распространением профессиональной социальной инженерии. Ранние атаки имитировали CEO-мошенничество (CEO Fraud): письмо «от директора» главбуху с просьбой срочно перевести деньги. Позже схема усложнилась: атакующие взламывают реальные email-аккаунты (а не только имитируют их), следят за перепиской месяцами, ждут крупных сделок и вмешиваются в самый подходящий момент.
Типичные схемы BEC
- CEO Fraud – письмо якобы от директора главбуху: «Срочно переведите X млн на новый счёт, не сообщайте никому».
- Vendor Impersonation – атакующий взламывает email поставщика и от его имени просит изменить реквизиты для оплаты.
- Real Estate BEC – перехват переписки при сделках с недвижимостью, подмена банковских реквизитов эскроу-счёта.
- W-2 (Data Theft BEC) – запрос от «HR-директора» к бухгалтеру о предоставлении налоговых форм сотрудников.
- Gift Card Scam – просьба купить подарочные карты от имени руководителя.
Где применяется (как угроза)
- Финансовые службы – бухгалтеры и финансовые директора, имеющие право на платежи.
- M&A и юридические фирмы – контроль крупных транзакций по сделкам.
- Строительство и девелопмент – большие регулярные платежи подрядчикам.
- Банки – корреспондентские переводы, Treasury-операции.
Меры защиты
Технические: строгая политика DMARC (reject), MFA на всех email-аккаунтах, аномалии в Secure Email Gateway (письма с новых IP-адресов от «руководителей»), UEBA для выявления аномального поведения учётных записей. Организационные: верификация платёжных поручений по альтернативному каналу (телефон, личная встреча), правило «четырёх глаз», обучение финансовых сотрудников распознаванию социальной инженерии.
Связь с другими понятиями
BEC является одним из наиболее опасных видов фишинга, часто предшествуемым Spear Phishing для компрометации учётной записи. Инцидент BEC требует Playbook реагирования, включающего немедленную блокировку транзакции и уведомление банка. UEBA помогает выявлять аномальное поведение взломанного аккаунта.
