Защита корпоративной почты от фишинга и BEC строится на сочетании технических мер и обучения сотрудников: одной фильтрации недостаточно, потому что целевые письма часто рассчитаны именно на человека. Ниже — практический чек-лист, который помогает закрыть основные риски.
Это продолжение большого гида «Что такое Mail Security», посвящённое самым опасным сценариям — фишингу и компрометации деловой переписки.
Чем фишинг отличается от BEC
Коротко: фишинг чаще массовый и стремится выманить данные через поддельную страницу, а BEC — это целевая атака с подменой доверенного отправителя, обычно без вложений и ссылок.
- Фишинг — письмо со ссылкой на поддельный сайт или вредоносным вложением.
- BEC — выдача себя за руководителя, контрагента или коллегу ради перевода денег или утечки данных; технически такое письмо часто «чистое», поэтому опаснее для сигнатурных фильтров.
Технический чек-лист
Настройте базовые механизмы аутентификации и фильтрации — они отсекают значительную часть атак ещё до пользователя:
- SPF, DKIM, DMARC. Настройте все три записи и переведите политику DMARC в режим отклонения подделок после периода мониторинга.
- Фильтрация вложений. Блокируйте опасные типы файлов, проверяйте архивы и документы с макросами, по возможности — в изолированной среде.
- Проверка ссылок. Анализируйте ссылки, в том числе в момент перехода, чтобы ловить сайты, активируемые уже после доставки письма.
- Анти-BEC правила. Помечайте внешние письма, выявляйте похожие домены и несоответствие имени и адреса отправителя.
- Защита исходящей почты для снижения риска утечек и компрометации аккаунтов.
Организационный чек-лист
Технические меры дополняются процессами и обучением, потому что финальное решение часто принимает человек:
- регулярное обучение сотрудников распознаванию фишинга и BEC;
- понятный канал, куда переслать подозрительное письмо;
- процедура подтверждения платежей и смены реквизитов по второму каналу связи;
- разбор инцидентов и обновление правил по итогам.
Как распознать BEC-письмо
BEC-письмо обычно давит на срочность и доверие, а не использует вложения. Признаки, на которые стоит обращать внимание:
- неожиданная просьба срочно перевести деньги или сменить реквизиты;
- адрес отправителя похож на настоящий, но отличается на символ или домен;
- имя отправителя совпадает с известным человеком, а адрес — внешний;
- просьба «не звонить, всё подтвердить только по почте».
Главная защита от BEC — подтверждение критичных действий по второму, независимому каналу связи.
Типичные ошибки
Чаще всего защита проседает из-за неполной настройки и отсутствия процессов:
- DMARC настроен в режиме мониторинга и так и не переведён в отклонение;
- проверяются вложения, но не ссылки (или наоборот);
- нет анти-BEC логики, рассчитанной на письма без вложений;
- сотрудники не знают, куда сообщать о подозрительных письмах;
- настройки сделаны один раз и не пересматриваются после инцидентов.
Отработать на практике
Применение этих мер удобно отрабатывать на стендах. На курсах BI.ZONE Mail Security вы настраиваете политики фильтрации, разбираете срабатывания и сценарии защиты от фишинга и BEC на изолированной инфраструктуре. Возможности продукта — на странице BI.ZONE Mail Security; общий обзор класса — в гиде «Что такое Mail Security».