Что такое подмена адреса в email и мошенничество BEC?

Подмена email означает, что подделывают имя отправителя или адрес электронной почты, чтобы сообщение выглядело знакомым. Оно может казаться отправленным вашим руководителем, бухгалтером, поставщиком, банком и даже доменом вашей же компании.

Компрометация корпоративной электронной почты (BEC) или BEC-измошенничество — это более широкий вид мошенничества. Преступник использует электронную почту, а иногда текстовые сообщения или телефонные звонки, чтобы выдавать себя за людей, которым ваша команда доверяет. Обычно цель — получить банковский перевод, изменить платежные инструкции, украсть конфиденциальные файлы или перехватить коды для входа.

Не каждое поддельное письмо приводит к BEC-измошенничеству, но подмена — один из распространенных инструментов. Некоторые BEC-атаки вообще не используют технические уловки. Злоумышленник может использовать адрес «похожий на настоящий», взломанный почтовый ящик или аккуратно рассчитанное по времени сообщение во время расчетов с персоналом, выставления счетов или реального проекта.

Для малого бизнеса вывод на простом языке прост. Если письмо создает срочность вокруг денег, изменений в учетных записях, зарплаты, налоговых форм, подарочных карт или конфиденциальных файлов — остановитесь и перепроверьте это другим способом.

Эти мошеннические схемы работают, потому что они используют типичные привычки работы в компаниях. Ваша команда занята. Люди отвечают быстро. Счета, обновления по платежам и срочные запросы — обычное дело, поэтому фальшивое сообщение может легко «вписаться».

Ущерб — не только финансовый. Инцидент BEC может раскрыть записи сотрудников, информацию о клиентах, договоры, банковские реквизиты или налоговые документы. Также он может прервать работу, пока ваша команда разбирается, что произошло, и кого нужно уведомить.

Малые и средние компании часто становятся целевыми потому, что обычно у них небольшие команды и меньше формальных этапов согласования. Семейные бизнесы и растущие компании могут полагаться на доверие и быстрые решения — это хорошо для скорости, но рискованно, если нет четких правил проверки.

Одна из причин, по которой многие владельцы спрашивают про управляемые ИТ-услуги. Управляемый поставщик услуг (MSP, managed services provider) — это внешняя компания, которая помогает управлять и поддерживать бизнес-технологии. NodeBridge IT не выполняет эту работу. Мы предлагаем общее обучение и помогаем вам найти поставщика, если вы хотите привлечь стороннюю помощь.

Иногда подделка очевидна. В сообщении могут быть плохая грамматика, странные формулировки или необычный адрес. Но многие подмененные письма выглядят аккуратно: используются настоящие имена, подписи, логотипы и даже активные переписки, скопированные из более ранних сообщений.

Примеры нескольких распространенных сценариев: сообщение, которое выглядит так, будто владелец просит подарочные карты; счет с «обновленными» реквизитами банковского перевода; запрос по зарплате с просьбой изменить прямой депозит; заметка от поставщика, где просят счета к оплате (accounts payable) использовать новый платежный счет.

В других случаях злоумышленник регистрирует домен-«двойник». Например, он может заменить одну букву, добавить дефис или использовать «.co» вместо «.com». Для занятого сотрудника это может выглядеть достаточно правдоподобно.

Некоторые атаки также связаны со взломанным почтовым ящиком. Это означает, что злоумышленник получил доступ к реальной учетной записи электронной почты и отправляет письма оттуда. Поэтому хороший поставщик может говорить о многофакторной аутентификации (MFA). MFA — это второй этап входа сверх обычного ввода пароля.

Хорошая защита обычно сочетает простые правила процессов и базовые технические меры. «Бизнесовая» часть важна не меньше, чем техническая. Если ваша команда знает, когда нужно остановиться и как проверять запросы, вы снижаете вероятность дорогой ошибки.

Надежная настройка часто включает письменные этапы согласования для банковских переводов, изменений в банковских реквизитах поставщиков, изменений в зарплате, а также запросов налоговых форм или конфиденциальных файлов. Также нужна простая норма: никто не согласует перемещение денег только по электронной почте.

С технической стороны поставщик может проверить настройки безопасности электронной почты, защиту входа пользователей, состояние устройств и наличие уведомлений (алертов). Он также может помочь с защитой конечных устройств. Конечное устройство — это любое устройство пользователя, например ноутбук, настольный компьютер или телефон. Еще можно встретить термин EDR (endpoint detection and response, обнаружение и реагирование на события на конечных устройствах). Это инструмент, который следит за устройствами на предмет подозрительной активности и помогает поставщику разбираться с проблемами.

Если вы сравниваете варианты поддержки, полезно сначала понимать основы. Вы можете почитать больше ответов простыми словами в нашем разделе ответов или узнать, что поставщики обычно предлагают на нашей странице услуг.

Если вы хотите снизить риск подмены и BEC-измошенничества, задайте практичные вопросы. Не нужно быть техническим специалистом. Хороший поставщик должен объяснять все ясно и рассказать, что он делает, чего он не делает, и что требует участия вашей команды.

Спросите, как они обрабатывают безопасность электронной почты, защиту входа в учетные записи, обучение сотрудников по вопросам безопасности и уведомления о подозрительных попытках входа. Спросите, что они рекомендуют для согласования финансовых действий и изменений по платежам поставщикам. Спросите, как они поддерживают удаленных сотрудников и мобильные устройства.

Также можно спросить про инструменты мониторинга и реагирования. RMM (remote monitoring and management, удаленный мониторинг и управление) — это программное обеспечение, которое поставщик использует, чтобы следить за состоянием систем и выполнять рутинные задачи поддержки. Патчинг (patching) означает поддержание обновлений ПО и операционных систем, включая исправления ошибок и обновления безопасности. Если они упоминают соглашение об уровне сервиса (SLA), то это письменный документ, где описаны цели реагирования и рамки поддержки.

Ни один честный поставщик не обещает отсутствие простоев или «невзламываемую» сеть. Вам нужен поставщик, который ясно, организованно и реалистично объясняет, как снижать риски, улучшать видимость происходящего и помогать вашей команде вырабатывать более безопасные привычки.