Що таке Компрометація ділового листування

Quarantine-режим пропускає підробки до користувацького судження. Reject-режим наказує приймаючим mail-серверам прямо відкидати неавтентифіковану пошту до того, як inbox її побачить. Публікуйте DMARC-записи на кожному надсильному домені (основний, маркетинговий, транзакційний, припарковані, регіональні), вирівнюйте SPF і DKIM з заголовком From, і переглядайте agregate reports щотижня. Це найдешевший контроль із найбільшим радіусом ураження проти класу cousin-domain spoofing, що драйвить більшість CEO fraud і attorney impersonation спроб. Парте з brand indicators (BIMI), як тільки DMARC енфорситься, щоб легітимна пошта несла верифікований logo, а підробки — ні.

Пишіть односторінкову політику, що вимагає callback на опублікований внутрішній directory-номер перед будь-якою wire-зміною, оновленням банківських деталей, новим vendor onboarding, payroll-edit чи roster-експортом, незалежно від вхідного каналу. Callback-номер мусить приходити з корпоративного довідника, не з email-підпису чи будь-якої деталі контакту в вхідному повідомленні. Прийміть систему кодового слова чи challenge-фрази для високовартісних фінансових запитів, щоб deepfake-голос і відео не могли самостійно завершити ланцюг. Репетируйте політику з фінансами, AP, HR і хелпдеском щокварталу. Збиток Arup 2024 і збиток FACC 2016 обидва були превентувні цим єдиним контролем.

Особа, що санкціонує wire, не повинна бути особою, що його релізить. Будуйте segregation of duties у treasury-workflow, AP-системі і payroll-платформі. Для wires понад board-set поріг вимагайте dual sign-off з timestamp-аудитним слідом і маршрутизуйте автоматичне сповіщення третьому ревʼюверу (CFO, treasurer, controller) для високовартісних переказів. Цей контроль спіймав щонайменше одну опубліковану BEC-спробу у 2023, бо другий схвалювач помітив, що нова beneficiary IBAN сидить у країні, де у вендора немає банківських стосунків. Single-approver workflows — найпоширеніший gap контролів у опублікованих BEC post-mortems.

Тегайте кожне зовнішнє повідомлення з чітким візуальним банером («External: це повідомлення прийшло з-поза YourCo») в Outlook, Gmail і мобільних mail-додатках. Тренуйте співробітників ставитися до будь-якого треду «reply from CEO» чи «reply from vendor», що несе external-банер, як до підозрілого, особливо коли display name співпадає з внутрішнім лідером. Поєднуйте з first-contact попередженням для нових зовнішніх відправників. Банер — найдешевший UI-nudge, що переживає AI-генеровану якість копії, бо не залежить від того, чи користувач помічає лінгвістичну підказку. Він виносить на поверхню protocol-level факт, що відправник не є частиною межі корпоративної ідентичності.

Тихі inbox-правила, що пересилають кожну invoice, платіжне підтвердження чи wire-інструкцію на зовнішню адресу — найпоширеніший механізм persistence BEC. Увімкніть Microsoft 365 audit logging чи Google Workspace alerting на нові forwarding-правила, особливо правила, створені через PowerShell, EWS чи Graph API, а не web UI. Парте з OAuth consent governance політикою, що вимагає admin-схвалення для будь-якого third-party додатку, що запитує Mail.Read, Mail.Send чи full mailbox scope. Persistent OAuth tokens переживають ротацію пароля і скидання MFA, тому consent-моніторинг — окрема поверхня контролів від credential hygiene.

Hardware-bound ключі (YubiKey, Titan, платформенні passkeys на iOS і Android) не можуть бути phished adversary-in-the-middle проксями. Криптографічний challenge привʼязаний до легітимного домену, тож фейкова сторінка логіну не може завершити рукопотискання. Переведіть кожного співробітника з SMS, push і TOTP на FIDO2 чи платформенні passkeys, починаючи з фінансів, AP, payroll, HR, керівників і IT-хелпдеску. Cloudflare публічно віднесла обовʼязкові апаратні ключі до зупинки кампанії Scatter Swine 2022 на її периметрі, що превентувало десятки downstream-BEC-атак, які той самий комплект увімкнув у peer-компаній.

Підпишіться на сервіс моніторингу доменів (DomainTools, RiskIQ, Cloudflare Brand Protection чи in-house DNS feed), що алертить на нові реєстрації, що нагадують ваш основний, регіональний і product-домен. Будуйте takedown runbook з вашим registrar і хостинг-провайдером, що може зняти lookalike в 24 години від детектування. Перереєструйте найочевидніші гомогліф-варіанти вашого основного домену самі; вартість $10 на рік за оборонну реєстрацію тривіальна порівняно з одним BEC-збитком. Ведіть внутрішній allowlist відомо-добрих vendor-доменів, щоб AP-команда могла прапорити будь-яку first-contact зміну платіжних інструкцій з домену не зі списку.

Ведіть tabletop-вправу щокварталу, що проводить фінанси, IT, legal і SOC через перші дві години після підозрюваного BEC-wire. Хто дзвонить у банк, щоб відкликати wire? Хто подає на FBI IC3 портал? Хто заморожує уражений endpoint і ротує credentials? Хто сповіщає раду і кібер-страховика? FBI Recovery Asset Team має найвищий success rate при сповіщенні в 72 години, тож drill повинен спеціально репетирувати 24-годинні і 48-годинні точки рішень. Парте з опублікованою політикою, що іменує конкретний bank fraud line, IC3 URL і law firm, що обробляє wire-fraud recovery, щоб ніхто не мусив шукати їх під тиском.