T1657: Кража денежных средств

Злоумышленники могут похитить денежные средства у жертв посредством вымогательства, социальной инженерии, технических или других методов, направленных на получение финансовой выгоды путем эксплуатации доступа жертв к денежным средствам. Кража денежных средств является конечной целью многих популярных типов кампаний, таких как вымогательство с помощью программ-вымогателей, компрометация корпоративной электронной почты (BEC) и мошенничество на ее основе, "забой свиней" (pig butchering), взлом банковских систем и эксплуатация криптовалютных сетей.

Злоумышленники могут использовать компрометацию учетных записей для несанкционированных переводов денежных средств. В случаях компрометации корпоративной электронной почты или связанного с этим мошенничества злоумышленник может прибегнуть к имперсонации доверенного лица. Если социальная инженерия сработает, жертву могут обманом заставить перевести деньги на счета, контролируемые злоумышленником. Такая техника хищения увеличивает вероятность появления множества жертв, пострадавших от взлома учетных записей и, в конечном итоге, потери денежных средств.

Например, злоумышленники могут потребовать выкуп после эксфильтрации данных жертвы и их шифрования с помощью программы-вымогателя, угрожая раскрыть конфиденциальные данные общественности в случае отказа от выплаты. Злоумышленники могут использовать специальные сайты, где публикуются утечки, для распространения данных, принадлежащих жертвам.

Поскольку кража денежных средств может иметь серьезные последствия для бизнеса, злоумышленники могут использовать эту технику не только в целях заработка, но и чтобы отвлечь внимание от своих настоящих целей, таких как уничтожение данных и нарушение работы бизнеса.

Способы обнаружения

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте признаки кражи денежных средств в журналах финансовых приложений, такие как аномальные финансовые транзакции или балансы ресурсов.

Журналы электронной почты могут содержать записи, указывающие на перехват учетной записи, имперсонацию и другую активность, связанную с кражей денежных средств.

Меры противодействия

IDM1017НазваниеОбучение пользователейОписание

Научите пользователей распознавать социальную инженерию с целью кражи денежных средств и мотивируйте их применять методы борьбы на практике. Также советуем научить пользователей предотвращать swatting и doxing и реагировать на них. Группы мошенников-вымогателей все чаще применяют такие атаки для давления на жертв, чтобы склонить их к уплате нужного выкупа.

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте доступ к конфиденциальным транзакциям и права на их проведение, а также перейдите на системы и процедуры, которые предполагают аутентификацию или одобрение платежей и запросов на покупку за пределами небезопасных каналов коммуникации, таких как электронная почта.