Компрометация деловой электронной почты: как работает и как остановить BEC-мошенничество (RU)

Приходит электронное письмо от генерального директора: срочный банковский перевод, новый банковский счет, никому не сообщать. Адрес выглядит правильно, тон соответствует, запрос не кажется достаточно странным, чтобы его оспаривать. Через два дня деньги исчезают — а генеральный директор никогда не отправлял это сообщение.

Компрометация деловой электронной почты (BEC) — одна из самых прибыльных категорий мошенничества, направленных на организации. Никакого вредоносного ПО, никаких эксплойтов — только убедительное электронное письмо и процесс, который происходит быстрее, чем кто-либо успевает его проверить. В этом посте рассказывается, как работает каждый основной вариант BEC, почему он эффективен и где инфраструктура идентификации останавливает его.

Ключевые выводы

• BEC — это мошенничество с использованием социальной инженерии: злоумышленники выдают себя за доверенную электронную личность или компрометируют ее, чтобы перенаправить деньги или данные.
• Четыре основных варианта — мошенничество с подменой гендиректора, мошенничество с поставщиками/счетами, перенаправление зарплаты и компрометация учетной записи — имеют один механизм: они злоупотребляют установленными доверительными отношениями, чтобы обойти обычные меры контроля.
• Атака удается, когда нет второго сигнала для проверки запроса. Одной электронной почты недостаточно.
• Didit устраняет пробелы с помощью проверки электронной почты (0,03 долл. США) для выявления подозрительных адресов отправителей, проверок личности и KYB для аутентификации получателей платежей и поставщиков до их оплаты, а также мониторинга транзакций для выявления аномальных платежей в реальном времени.
• Стоимость одного пропущенного платежа BEC значительно превышает стоимость всех проверок вместе взятых.

Что такое компрометация деловой электронной почты?

BEC — это мошенничество, при котором злоумышленник использует легитимно выглядящее электронное письмо — подделав адрес, зарегистрировав похожий домен или захватив реальную учетную запись — чтобы обманом заставить сотрудника перевести деньги, изменить платежные реквизиты или раскрыть учетные данные.

Отличительной особенностью является то, что он атакует не системы, а людей и процессы. Нет полезной нагрузки для сканирования, нет сигнатуры для сопоставления. Хорошо составленное электронное письмо BEC проходит через все спам-фильтры, потому что для фильтра это нормальное электронное письмо.

Основные типы атак

Мошенничество с подменой гендиректора (выдача себя за руководителя)

Злоумышленник выдает себя за высокопоставленного руководителя — генерального директора, финансового директора, главного юрисконсульта — и отправляет электронное письмо в финансовый отдел с срочным, конфиденциальным запросом на перевод средств на новый счет. Срочность и секретность преднамеренны: они не дают цели проверить запрос у кого-либо еще. Отправитель обычно использует похожий домен (company-corp.com вместо company.com) или скомпрометированную подлинную учетную запись, а содержимое часто исследуется на основе имени цели и расписания руководителя.

Мошенничество с поставщиками и счетами

Злоумышленник выдает себя за известного поставщика и сообщает отделу расчетов с поставщиками, что банковский счет поставщика изменился, перенаправляя следующий платеж на новый счет. Это эффективно, потому что изменение банковских реквизитов является обычным событием, а не необычным запросом. Мошенничество обнаруживается только тогда, когда настоящий поставщик запрашивает просроченный счет.

Перенаправление зарплаты

Злоумышленник выдает себя за сотрудника и просит отдел кадров или расчета заработной платы изменить данные прямого депозита до следующего запуска. Целью является внутренний обработчик заработной платы, поэтому транзакция выглядит законной, пока сотрудник не сообщит о пропаже зарплаты.

Компрометация учетной записи (BEC с использованием ATO)

Здесь злоумышленник не подделывает — он владеет. Реальная учетная запись (часто финансового или закупочного отдела) захватывается с помощью фишинга учетных данных или перебора, и запросы BEC поступают с подлинного адреса. Это самый сложный вариант для обнаружения, потому что каждый сигнал аутентификации говорит, что отправитель является законным.

Почему BEC так дорого обходится

Банковские переводы часто необратимы в течение периода отзыва, поэтому к тому времени, когда законная сторона отслеживает их, деньги уже уходят. Доверие установлено заранее — запрос поступает от вашего генерального директора, поставщика или сотрудника, поэтому проверка кажется ненужной. Срочность и конфиденциальность подавляют меры контроля, которые могли бы это заметить, а регистрация похожих доменов стоит несколько долларов. С правдоподобным отображаемым именем большинство получателей никогда не заглядывают дальше него.

Как помогает Didit

BEC использует пробелы в проверке личности в трех точках платежной цепочки: при подключении поставщика, при изменении данных получателя платежа и при выполнении транзакции. Модули Didit устраняют все три.

Проверка электронной почты — выявляйте подозрительных отправителей до установления доверия

Модуль Didit Проверка электронной почты (0,03 долл. США за проверку) выполняет отправку и проверку OTP, а также слой сигналов риска менее чем за две секунды. Для BEC сигналы риска наиболее важны:

• Утечка данных — адрес появляется в известных утечках данных, что указывает на то, что он может быть скомпрометирован или собран
• Обнаружение одноразовых провайдеров — временный или одноразовый домен, соответствующий учетной записи, созданной для атаки
• Доставляемость — адрес не принимает электронные письма, поэтому «поставщик» может отправлять, но никогда не получать ответы
• Репутация домена — домен новый, помечен или имеет похожие характеристики

Возвращаемые коды предупреждений: BREACHED_EMAIL, DISPOSABLE_EMAIL, UNDELIVERABLE_EMAIL, DUPLICATED_EMAIL. Вы настраиваете, должен ли каждый из них вызывать одобрение, проверку или отклонение в бизнес-консоли. Для регистрации поставщика или получателя платежа установка DISPOSABLE_EMAIL и UNDELIVERABLE_EMAIL для принудительной проверки является малозатратным, высокоэффективным способом обнаружения. Запускайте ее при регистрации поставщика, регистрации получателя платежа или обработке изменения банковских реквизитов — а не только при регистрации.

Проверка личности — подтвердите, что запрашивающий является тем, за кого себя выдает

Для перенаправления зарплаты и внутренних запросов на изменение учетной записи сеанс проверки добавляет неопровержимый второй сигнал: требование короткой проверки личности подтверждает, что человек за клавиатурой является зарегистрированным сотрудником.

Основной поток KYC (проверка ID + пассивная проверка живости + сопоставление лиц 1:1 + анализ IP/устройства) стоит 0,33 долл. США за сеанс. SDK Didit охватывают Web, iOS, Android, React Native и Flutter, поэтому вы можете встроить его в свой HR- или зарплатный портал с помощью одного вызова API и прочитать результат через веб-хук или конечную точку принятия решения. Сигнал устройства также помогает: если сеанс выполняется с устройства или IP, никогда не связанного с этим сотрудником, сработает DUPLICATED_DEVICE_FINGERPRINT или EXPECTED_IP_ADDRESS_MISMATCH.

Проверка бизнеса (KYB) — подтверждайте поставщиков до первого платежа

Мошенничество со счетами поставщиков работает, потому что новые поставщики иногда подключаются на доверии — электронное письмо, подписанный PDF, телефонный звонок. Проверка бизнеса (KYB, от 2,00 долл. США) устраняет этот пробел с помощью программной цепочки:

• Поиск в реестре — подтверждает, что компания существует и ведет деятельность в своей юрисдикции
• Извлечение UBO и данные о должностных лицах — выявляет, кто фактически контролирует организацию
• AML-проверка организации — проверяет бизнес и бенефициаров по более чем 1300 спискам санкций, PEP и неблагоприятных СМИ
• Связанные сеансы KYC — каждый UBO может пройти полную индивидуальную проверку личности, замыкая цикл между организацией и человеком

Поставщик с недавно зарегистрированной компанией, недоставляемым электронным письмом и отсутствием в реестре — это именно тот профиль, который создают операторы BEC. KYB выявляет это до оплаты первого счета.

Мониторинг транзакций — выявляйте аномальные платежи в реальном времени

Даже при строгом контроле при подключении BEC может захватить существующие отношения: злоумышленник, скомпрометировавший электронную почту реального поставщика, запрашивает изменение банковских реквизитов реального счета. Поставщик реален, счет реален — изменилось только место назначения.

Мониторинг транзакций (0,02 долл. США за транзакцию) выявляет поведенческие аномалии: платеж на счет, который поставщик никогда не использовал, сумма, выходящая за пределы исторического диапазона, или внезапное изменение частоты. Движок правил поставляется с 11 предустановленными пакетами, охватывающими скорость, сумму, контрагента и географию, и вы можете накладывать на них пользовательские правила. Совпадения поступают в систему управления делами для проверки человеком, а цикл автоматического устранения AWAITING_USER может ограничивать платежи с низким риском, пока исходный пользователь не завершит повторную проверку личности, прежде чем они будут продолжены.

Сценарии использования

Расчеты с поставщиками — подключение поставщиков и изменение банковских реквизитов

Выполняйте проверку электронной почты + KYB при добавлении нового поставщика или изменении платежных реквизитов. Одноразовый домен или пропуск в реестре останавливает мошеннического поставщика до любого платежа.

HR и расчет заработной платы — изменение зарплатных счетов сотрудников

Требуйте шаг KYC всякий раз, когда сотрудник меняет данные прямого депозита. Биометрия + проверка живости подтверждает присутствие сотрудника; сигналы устройства и IP подтверждают, что сеанс исходит из известного контекста.

Финансовые операции — мониторинг исходящих переводов

Выполняйте мониторинг транзакций исходящих потоков. Отмечайте новых контрагентов, платежи выше исторических порогов и недавно добавленные счета, и направляйте их на проверку до выполнения.

Выплаты на платформах и маркетплейсах

Если ваш продукт распределяет средства предприятиям или фрилансерам, мошенничество типа BEC является риском на уровне платформы. KYB для получателей платежей от бизнеса и проверка электронной почты при регистрации являются базовыми мерами контроля.

Как интегрироваться с Didit

Все проверки выполняются в рамках сеанса проверки Didit. Создайте сеанс с рабочим процессом, который включает необходимые модули (проверка электронной почты, KYC, KYB, мониторинг транзакций), затем прочитайте решение через веб-хук или конечную точку принятия решения.

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "vendor-onboarding-456",
    "callback": "https://yourapp.com/webhook"
  }'

curl 'https://verification.didit.me/v3/session/{sessionId}/decision/' \
  -H 'x-api-key: YOUR_API_KEY'

Полная справка: Проверка электронной почты · KYB · Мониторинг транзакций · модели данных.

Часто задаваемые вопросы

Чем BEC отличается от обычного фишинга?

Фишинг обычно крадет учетные данные, обманом заставляя пользователя ввести их где-либо. BEC пропускает этот шаг — он использует надежно выглядящее электронное письмо, чтобы манипулировать целью, заставляя ее напрямую переводить деньги или изменять банковские реквизиты. Нет необходимости красть учетные данные; атака удается, если цель просто подчиняется.

Как проверка электронной почты помогает, если злоумышленник использует реальную скомпрометированную учетную запись?

Для вариантов компрометации учетной записи наиболее актуален сигнал об утечке данных: если адрес появляется в известных наборах данных об утечках, это указывает на то, что учетная запись могла быть захвачена. Сигналы доставляемости и репутации домена помогают с похожими доменами. Компрометация учетной записи — самый сложный вариант для обнаружения только по адресу — поэтому важно сочетание проверок электронной почты с поведенческим мониторингом транзакций.

В какой момент KYB должно требоваться для нового поставщика?

До первого платежа. Стоимость выполнения KYB (от 2,00 долл. США за организацию) ничтожна по сравнению с мошенническим переводом. Как минимум, запускайте KYB всякий раз, когда добавляется новый получатель платежа или изменяются банковские реквизиты существующего получателя платежа.

Охватывает ли Didit предприятия за пределами ЕС и США?

Да. Проверка бизнеса охватывает реестры в более чем 220 странах и территориях, AML-проверка охватывает более 1300 глобальных списков, а мониторинг транзакций обрабатывает фиатные и криптовалюты. Didit является единственным поставщиком идентификационных данных, официально подтвержденным правительством государства-члена ЕС (Казначейством Испании / Банком Испании / SEPBLAC) как более безопасный, чем личная проверка.

Готовы начать?

BEC — это проблема процесса, а не столько технологии, но правильная технология делает контроль процессов масштабируемым. Проверка электронной почты Didit, проверки личности, KYB и мониторинг транзакций объединяются в точный рабочий процесс, который требуется для ваших процессов подключения и оплаты.

• Изучите модули → Проверка электронной почты · KYB · Мониторинг транзакций
• Проверьте цену → didit.me/pricing — Проверка электронной почты 0,03 долл. США, KYB от 2,00 долл. США, Мониторинг транзакций 0,02 долл. США/транзакция
• Начните бесплатно → business.didit.me — 500 бесплатных проверок в месяц, без минимальных требований