BEC

Введение

BEC (Business Email Compromise) – сложная форма целевого мошенничества, при которой злоумышленник взламывает или имитирует корпоративный email-аккаунт (как правило, руководителя, бухгалтера или юриста) для перенаправления финансовых транзакций или получения конфиденциальных данных.

По данным ФБР США, BEC является одним из самых дорогостоящих видов киберпреступлений: ежегодные потери мирового бизнеса от BEC исчисляются миллиардами долларов. Российский бизнес также регулярно сталкивается с такими атаками, особенно в банковском, строительном и торговом секторах.

История и контекст

BEC оформился как отдельная категория атак около 2013 года с распространением профессиональной социальной инженерии. Ранние атаки имитировали CEO-мошенничество (CEO Fraud): письмо «от директора» главбуху с просьбой срочно перевести деньги. Позже схема усложнилась: атакующие взламывают реальные email-аккаунты (а не только имитируют их), следят за перепиской месяцами, ждут крупных сделок и вмешиваются в самый подходящий момент.

Типичные схемы BEC

• CEO Fraud – письмо якобы от директора главбуху: «Срочно переведите X млн на новый счёт, не сообщайте никому».
• Vendor Impersonation – атакующий взламывает email поставщика и от его имени просит изменить реквизиты для оплаты.
• Real Estate BEC – перехват переписки при сделках с недвижимостью, подмена банковских реквизитов эскроу-счёта.
• W-2 (Data Theft BEC) – запрос от «HR-директора» к бухгалтеру о предоставлении налоговых форм сотрудников.
• Gift Card Scam – просьба купить подарочные карты от имени руководителя.

Где применяется (как угроза)

• Финансовые службы – бухгалтеры и финансовые директора, имеющие право на платежи.
• M&A и юридические фирмы – контроль крупных транзакций по сделкам.
• Строительство и девелопмент – большие регулярные платежи подрядчикам.
• Банки – корреспондентские переводы, Treasury-операции.

Меры защиты

Технические: строгая политика DMARC (reject), MFA на всех email-аккаунтах, аномалии в Secure Email Gateway (письма с новых IP-адресов от «руководителей»), UEBA для выявления аномального поведения учётных записей. Организационные: верификация платёжных поручений по альтернативному каналу (телефон, личная встреча), правило «четырёх глаз», обучение финансовых сотрудников распознаванию социальной инженерии.

Связь с другими понятиями

BEC является одним из наиболее опасных видов фишинга, часто предшествуемым Spear Phishing для компрометации учётной записи. Инцидент BEC требует Playbook реагирования, включающего немедленную блокировку транзакции и уведомление банка. UEBA помогает выявлять аномальное поведение взломанного аккаунта.