Статья Корпоративный фрод и пути борьбы с ним

[vaspvort]

Наш отдел часто сталкивается с попытками заполучить корпоративную информацию обманными схемами. Такие схемы называются фродом — мошенническими действиями для получения конфиденциальной информации и выгоды с ее применением. В этой статье я напомню, что представляет собой фрод, расскажу, с какими схемами мы сталкиваемся и что можно сделать, чтобы обезопасить себя и бизнес.

Цели корпоративного фрода

Корпоративный фрод — совокупность методов мошеннических действий: получение конфиденциальных данных и их несанкционированное использование, финансовые махинации и подлоги. Их мишень — бизнес. Злоумышленники зарабатывают на любой ценной информации компании — базах данных, разработках, внутренних документах, финансовых сведениях и т.д. Полученную информацию они либо продают конкурентам, хакерам и другим преступникам на теневых форумах (даркнет), либо используют для проведения целевых кибератак на компанию.

Успешно реализованные фрод-атаки причиняют серьезный ущерб. По данным МВД России ущерб от действий кибермошенников в 2023 году оценивался в 147 млрд руб., а в 2024 уже достиг 200 млрд руб., при этом 40% от всех зарегистрированных преступлений в 2024 году (свыше 765,4 тысяч) совершены с использованием информационных технологий. Таким образом, тематика защиты информации и бизнеса от мошеннических действий не только очевидна, но и год от года не теряет актуальности. Важный аспект защиты — знания о фроде и умение ему противостоять. Это позволяет снизить риски финансовых потерь, сохранить доверие клиентов и репутацию компании.

Поговорим о схемах корпоративного фрода, с которыми столкнулась наша компания.

CEO-фрод: атака (дипфейк-звонки) от имени руководителя

Одна из наиболее массовых мошеннических схем, также известная под названием «фейк босс». Злоумышленники маскируются под генерального директора или другого высокопоставленного руководителя, обращаются к сотрудникам со срочными запросами чувствительной корпоративной информации, оказывают давление вплоть до угроз.

Вот как это выглядит: сотруднику приходит письмо на корпоративную почту или сообщение в мессенджере от имени директора, который под «тайным и конфиденциальным предлогом» просит его срочно совершить что-либо, что не входит в его обязанности — провести оплату по направленному счету, прислать документы для торгов, базу данных клиентов, перевести деньги на указанный счет, изменить настройки доступа, сообщить пароль от учетной записи и т. п. При этом «директор» давит на сотрудника: ожидает проявления лояльности компании и ему лично, а просьбу требует сохранить в тайне. Срочность, нестандартность и давление — вообще ключевые элементы CEO-фрода: у жертвы возникает иллюзия чрезвычайной ситуации, в которой нет возможности придерживаться принятых бизнес-процесса или процедуры согласования, а тем более обратиться за советом к линейному руководителю или коллеге.

Чтобы убедить человека в правдоподобности обращения «директора», злоумышленники проводят предварительную масштабную подготовку:

• создают аккаунты в мессенджерах с нужным ФИО и реальной фотографией: эти сведения несложно раздобыть, если компания и директор публичны
• пишут сценарии взаимодействия
• готовят «реквизит» и материалы — приказы, письма, запросы, обращения, скриншоты
• формируют базу контактов, по которым проведут атаки

Нередки атаки и в отношении настоящего директора, чтобы для большей убедительности подкрепить оригинальными материалами дальнейшие атаки на сотрудников. Мы столкнулись со звонками директору от злоумышленников с включенной видеосвязью: они рассчитывали, что директор в ответ тоже включит камеру, они запишут разговор, «нарежут» отрывки и разошлют по компании.

А генеративные нейросети позволяют пойти еще дальше — создать дипфейк директора. На основе публичных материалов — записей выступлений на конференциях, подкастов и блогов — накапливается внушительный набор данных, который позволяет в короткий срок и с удивительной точностью сымитировать голос и изображение реального человека, готового по указанию злоумышленников произнести любую речь.

Эффект налицо! Только представьте себе: обычный рабочий день, вам поступает видеозвонок директора. Надо же, такой важный человек нашел время в плотном графике, чтобы позвонить именно вам. Значит, вопрос важный и срочный, медлить нельзя, вы нажимаете на кнопку «Принять». Знакомый голос произносит: «Добрый день, сейчас говорить не могу, напишу». На этом звонок прерывается. Вы не успели ни поприветствовать в ответ, ни уточнить, о чем пойдет речь. После этого в чате приходит сухое текстовое сообщение с просьбой посодействовать в начавшемся аудите или срочно прислать некую важную информацию. Вы видели лицо директора собственными глазами и слышали его голос — кто тут засомневается, кто не поможет? Как показывает практика, многие сотрудники не распознают обман на таком уровне.

Как не стать жертвой CEO-фрода? Стопроцентно «рабочего» способа защиты в моменте не существует. Как и в любой другой ситуации с человеческим фактором, важную роль играет регулярная тренировка бдительности и внимания, а также взращивание минимального скепсиса.

1. При любом странном, неожиданном или угрожающем звонке и письме от «директора» задаем себе вопрос: «А мог ли директор на самом деле позвонить или написать с неизвестного номера и попросить сделать то, чего я никогда раньше не делал?»
2. Не спешим сломя голову выполнять поступившую просьбу или распоряжение, ведь срочность — главный инструмент злоумышленника
3. Внимательно проверяем почтовый адрес или аккаунт отправителя: дату регистрации профиля в мессенджере, дату смены имени и фото, корректно ли написано имя. Недавно созданный или странно названный аккаунт — тревожный сигнал, а недавняя смена имени и фотографии — отличительный признак мошенничества
4. По возможности связываемся напрямую. Если пришло голосовое сообщение или звонок — связываемся по номеру, который известен, или по любому другому каналу коммуникации. Если пришло текстовое сообщение, попробуйте написать руководителю на корпоративную почту
5. Не спешим переходить по ссылкам и открывать вложения
6. Не поддаемся на угрозы и уговоры поторопиться, а также на просьбы сохранить запрос в тайне

Классика жанра — атака с помощью устройства. Зараженные флешки

Метод заражения вирусом с флешки почти такой же старый, как и само вирусное программное обеспечение (далее по тексту — «ВПО»). Тем не менее, его до сих пор используют. Злоумышленники «роняют» флешку рядом с бизнес-центром. Кто-нибудь из сотрудников решает узнать, кто ее владелец, и вернуть. Вот так флешка оказывается сначала в офисе, затем попадает в корпоративный компьютер, далее ВПО попадает в корпоративную сеть, после чего проигрывается любой возможный сценарий атаки на ИТ-инфраструктуру компании.

В отличие от CEO-фрода, защититься в этом случае очень просто: не подбирать и не подключать флешки ни к корпоративным, ни к личным устройствам. ВПО навредит и корпорации, и обычному человеку, хранящему на компьютере только фото любимого питомца. Нередко USB-порты в компаниях отключают или блокируют для незарегистрированных флешек — и, как показывает практика, не зря. Однако в этой ситуации человек тоже несет ответственность за защиту от угроз информационной безопасности.

Фишинг. Письма, ссылки и вирусы

Большинство кибератак на бизнес по-прежнему начинается с фишинга, еще одной разновидности фрода. Фишинг представляет собой рассылку электронных писем и сообщений в мессенджерах с целью обманом заставить сотрудника скачать, запустить вредоносное вложение или перейти по ссылке. Ссылка приведет на поддельный сайт, где человек введет чувствительные данные, которые окажутся в руках злоумышленников.

Фишинговые письма маскируются под нечто важное и срочное:

• уведомление о блокировке аккаунта
• уведомление об угрозе безопасности аккаунта или личного кабинета
• сообщение о выигранной лотерее
• письмо с вызовом в прокуратуру

Такое письмо нацелено на импульсивное поведение, чтобы человек без раздумий совершил то, что от него ожидают. Тема не имеет значения, главное — ее актуальность с учетом периода отправки:

• осенью, во время уплаты налогов, учащаются рассылки типа «Обнаружена задолженность! Перейдите по ссылке, чтобы проверить»
• в дни расчета заработной платы вам может прийти письмо о том, что ФНС якобы обнаружила у вас незаконное обогащение
• когда вводят новые льготы, письмо предложит рассчитать, распространяются ли эти льготы и на вас тоже

Если перейти по ссылке и заполнить экранные формы, данные похитят.

С вредоносным файлом во вложении возможны разные варианты развития событий, ведь и цели злоумышленников различаются. Они могут попытаться завладеть данными с компьютера или из корпоративной сети, зашифровать файлы и потребовать выкуп за дешифратор. Суть всегда одна и та же: вложение запускает более сложную и опасную кибератаку.

Как защититься:

1. Относимся с подозрением к любым письмам с вложениями и ссылками, даже если имя отправителя на первый взгляд кажется правдоподобным
2. Не передаем учетные данные и платежные реквизиты по запросу неизвестных отправителей
3. Если правдоподобность письма вызывает сомнения, связываемся с отправителем по альтернативному каналу коммуникации. Так мы сможем убедиться в личности отправителя и правдоподобности текста
4. Если вы получили неожиданное письмо от банка или налоговой инспекции с вложениями или ссылками, лучше без перехода по ссылке открыть сайт организации и в личном кабинете проверить, направляли ли вам какие-либо уведомления
5. Используем средства антивирусной защиты. Они успешно нейтрализуют некоторые опасные вложения и фишинговые ссылки

Защита от фрода на практике

Мы рассмотрели наиболее популярные схемы фрод-атак. На деле их гораздо больше, и с каждым днем они становятся все изощреннее. У нас в РТК-ЦОД главной мерой защиты от них стало обучение сотрудников:

1. Простое информирование о существовании фрода и базовых способах защиты от него по всем каналам: почта, внутренний портал, корпоративный чат. Подключаем наглядность — памятки, карточки и плакаты. Ключи к успешному обучению — непрерывность и регулярность. Так формируется насмотренность.
2. Описываем конкретные случаи в отношении компании, с акцентами на конкретные способы и виды мошенничества.
3. Учебные курсы знакомят сотрудников с общими принципами безопасной работы с информацией. Важно дополнять теорию прикладными знаниями, например, о том, что банк никогда не попросит сообщить PIN-код, а руководитель — перевести деньги куда бы то ни было без заключения договора и проч.
4. Контролируем эффективность обучения. Для этого эмулируем фишинговые атаки: фишинговые письма с провокационными темами и вложениями. Затем определяем, сколько сотрудников перешли по ссылке или открыли вложение. Коллегам, которые попались на фишинговое письмо, назначаем повторный курс, чтобы выработать и закрепить у них навыки реагирования на входящие письма с вложениями и ссылками.

Тут важно не столько количество рассылок и курсов, сколько их цикличность.

Комплексный подход к защите от фрода и роль человеческого фактора

Как показывает опыт, ни одна мера сама по себе не гарантирует полной защиты. Можно ужесточить политики ИБ, регулярно обновлять антивирусное ПО, блокировать потенциально опасные сайты — все это снизит риск фрода, но не устранит его полностью. Ни одна компания не застрахована от сложных, целенаправленных атак из технологий и тонкой психологической игры, поэтому в противодействии корпоративному фроду важен комплексный подход.

Что для этого нужно?

Во-первых, слаженная работа подразделений и поддержка руководством инициатив по повышению уровня ИБ. Для проведения аудитов, анализа защищенности, мониторинга событий информационной безопасности и расследования инцидентов иногда имеет смысл привлечь внешних консультантов. Свежий взгляд со стороны поможет обнаружить уязвимости, которые сами сотрудники могут не осознавать.

Во-вторых, ключевую роль играет человеческий фактор. Большинство атак достигают целей из-за доверчивости, невнимательности или недостатка знаний. Значит, инвестиции в обучение и формирование киберкультуры в компании напрямую окупятся снижением рисков. Важно обучать не только корпоративным правилам ИБ, но и общей цифровой гигиене: почему нельзя сообщать посторонним код из смс от банка или не стоит использовать один и тот же пароль дома и на работе. Собрав некоторое количество сведений о личной жизни сотрудника, злоумышленники могут обманом вынудить его совершить противоправные действия на работе.

И последнее — устойчивая система проактивной защиты сочетает в себе технологии, правила и культуру. Только это сочетание помогает нам противостоять постоянно эволюционирующим фрод-атакам.

Вместо заключения

Корпоративный фрод сегодня — не абстракция, а настоящая опасность для любого бизнеса. Атаки становятся все хитрее: злоумышленники используют дипфейки, социальную инженерию, придумывают новые методы и ежегодно похищают десятки миллиардов рублей. Защита от фрода должна стать командной задачей, частью корпоративной культуры. Залог успеха в этой борьбе — комплексный подход, объединяющий человеческий фактор, организационные меры и современные технологии. Зачастую именно вовремя проявленная подозрительность одного сотрудника спасает компанию от репутационных и финансовых потерь: лучше лишний раз перепроверить, чем один раз потерять.

Источник