Перейти к содержимому
MAIL-SECURITY

Защита от фишинга и BEC: чек-лист для корпоративной почты

Автор: Пётр Куценко  · Обновлено:

Защита корпоративной почты от фишинга и BEC строится на сочетании технических мер и обучения сотрудников: одной фильтрации недостаточно, потому что целевые письма часто рассчитаны именно на человека. Ниже — практический чек-лист, который помогает закрыть основные риски.

Это продолжение большого гида «Что такое Mail Security», посвящённое самым опасным сценариям — фишингу и компрометации деловой переписки.

Чем фишинг отличается от BEC

Коротко: фишинг чаще массовый и стремится выманить данные через поддельную страницу, а BEC — это целевая атака с подменой доверенного отправителя, обычно без вложений и ссылок.

  • Фишинг — письмо со ссылкой на поддельный сайт или вредоносным вложением.
  • BEC — выдача себя за руководителя, контрагента или коллегу ради перевода денег или утечки данных; технически такое письмо часто «чистое», поэтому опаснее для сигнатурных фильтров.

Технический чек-лист

Настройте базовые механизмы аутентификации и фильтрации — они отсекают значительную часть атак ещё до пользователя:

  • SPF, DKIM, DMARC. Настройте все три записи и переведите политику DMARC в режим отклонения подделок после периода мониторинга.
  • Фильтрация вложений. Блокируйте опасные типы файлов, проверяйте архивы и документы с макросами, по возможности — в изолированной среде.
  • Проверка ссылок. Анализируйте ссылки, в том числе в момент перехода, чтобы ловить сайты, активируемые уже после доставки письма.
  • Анти-BEC правила. Помечайте внешние письма, выявляйте похожие домены и несоответствие имени и адреса отправителя.
  • Защита исходящей почты для снижения риска утечек и компрометации аккаунтов.

Организационный чек-лист

Технические меры дополняются процессами и обучением, потому что финальное решение часто принимает человек:

  • регулярное обучение сотрудников распознаванию фишинга и BEC;
  • понятный канал, куда переслать подозрительное письмо;
  • процедура подтверждения платежей и смены реквизитов по второму каналу связи;
  • разбор инцидентов и обновление правил по итогам.

Как распознать BEC-письмо

BEC-письмо обычно давит на срочность и доверие, а не использует вложения. Признаки, на которые стоит обращать внимание:

  • неожиданная просьба срочно перевести деньги или сменить реквизиты;
  • адрес отправителя похож на настоящий, но отличается на символ или домен;
  • имя отправителя совпадает с известным человеком, а адрес — внешний;
  • просьба «не звонить, всё подтвердить только по почте».

Главная защита от BEC — подтверждение критичных действий по второму, независимому каналу связи.

Типичные ошибки

Чаще всего защита проседает из-за неполной настройки и отсутствия процессов:

  • DMARC настроен в режиме мониторинга и так и не переведён в отклонение;
  • проверяются вложения, но не ссылки (или наоборот);
  • нет анти-BEC логики, рассчитанной на письма без вложений;
  • сотрудники не знают, куда сообщать о подозрительных письмах;
  • настройки сделаны один раз и не пересматриваются после инцидентов.

Отработать на практике

Применение этих мер удобно отрабатывать на стендах. На курсах BI.ZONE Mail Security вы настраиваете политики фильтрации, разбираете срабатывания и сценарии защиты от фишинга и BEC на изолированной инфраструктуре. Возможности продукта — на странице BI.ZONE Mail Security; общий обзор класса — в гиде «Что такое Mail Security».

Практика на стенде

Отработайте навыки из статьи на учебном стенде BI.ZONE.