Trace Id is missing
Преминаване към основното съдържание
Security Insider

Променящите се тактики стимулират нарастването на компрометирането на имейлите от бизнес клас

Изтегляне
Споделяне

Cyber Signals Издание 4: Играта на увереност

Измамите с бизнес имейли продължават да се увеличават, като Федералното бюро за разследване (ФБР) съобщава за повече от 21 000 жалби с коригирани загуби от над 2,7 милиарда щатски долара. Microsoft наблюдава увеличаване на сложността и тактиките на действащите лица, специализирани в компрометиране на бизнес електронна поща (BEC), включително използване на жилищни интернет протоколни (IP) адреси, за да изглеждат кампаниите за атаки генерирани на място.

Тази нова тактика помага на престъпниците да печелят допълнително от услугата "киберпрестъпление като услуга" (CaaS) и привлече вниманието на федералните правоприлагащи органи, тъй като позволява на киберпрестъпниците да избягват сигналите за "невъзможни пътувания", използвани за идентифициране и блокиране на аномални опити за влизане и други подозрителни действия в акаунта.

Всички ние сме защитници на киберсигурността.
Отделът за цифрови престъпления на Microsoft наблюдава 38-процентно увеличение на киберпрестъпленията като услуга, насочени към бизнес електронна поща, между 2019 и 2022 г.

Възходът на индустриалната услуга BEC на BulletProftLink

Дейността на киберпрестъпниците, свързана с компрометиране на бизнес електронна поща, се ускорява. Microsoft наблюдава значителна тенденция в използването на платформи от нападателите, като BulletProftLink - популярна платформа за създаване на злонамерени пощенски кампании в промишлен мащаб. BulletProftLink продава цялостна услуга, включваща шаблони, хостинг и автоматизирани услуги за BEC. Противниците, които използват тази CaaS, получават идентификационни данни и IP адреса на жертвата.

След това действащите лица в BEC заплахите купуват IP адреси от услуги за домашни IP адреси, съответстващи на местоположението на жертвата, като създават домашни IP проксита, които дават възможност на киберпрестъпниците да маскират своя произход. Сега, въоръжени с локализирано адресно пространство за подпомагане на злонамерените си дейности в допълнение към потребителските имена и паролите, нападателите на BEC могат да прикрият движенията си, да заобиколят флаговете за "невъзможно пътуване" и да отворят портал за провеждане на по-нататъшни атаки. Microsoft наблюдава, че най-често тази тактика се прилага от участници в заплахи в Азия и една източноевропейска държава.

Невъзможното пътуване е откриване, което се използва, за да покаже, че потребителският акаунт може да е компрометиран. Тези сигнали предупреждават за физически ограничения, които показват, че дадена задача се изпълнява на две места, без да е осигурено необходимото време за придвижване от едното до другото място.

Специализацията и консолидирането на този сектор от икономиката на киберпрестъпността може да увеличи използването на жилищни IP адреси за избягване на откриването. Жилищните IP адреси, свързани с локации в голям мащаб, дават възможност на киберпрестъпниците да събират големи количества компрометирани идентификационни данни и акаунти за достъп. Извършителите на заплахи използват IP/прокси услуги, които търговците и други лица могат да използват за проучвания, за да разширят тези атаки. Един от доставчиците на IP услуги, например, разполага със 100 милиона IP адреса, които могат да се сменят или ротират всяка секунда.

Докато извършителите на заплахи използват фишинг като услуга като Evil Proxy, Naked Pages и Caffeine, за да разгръщат фишинг кампании и да получават компрометирани идентификационни данни, BulletProftLink предлага децентрализиран дизайн на шлюз, който включва публични блокчейн възли на Internet Computer за хостване на фишинг и BEC сайтове, създавайки още по-сложно децентрализирано уеб предложение, което е много по-трудно да бъде разрушено. Разпределянето на инфраструктурата на тези сайтове в сложните и развиващи се публични блокчейн вериги прави идентифицирането им и съгласуването на предприетите действия по-сложно. Въпреки че можете да премахнете фишинг връзката, съдържанието остава онлайн и киберпрестъпниците се връщат, за да създадат нова връзка към съществуващото съдържание на CaaS.

Успешните BEC атаки струват на организациите стотици милиони долари годишно. През 2022 г. екипът за възстановяване на активи на ФБР е започнал работа по "Веригата на финансовите измами" по 2838 жалби за BEC, включващи вътрешни трансакции с потенциални загуби от над 590 млн. щатски долара.

Въпреки че финансовите последици са значителни, по-широките дългосрочни щети могат да включват кражба на самоличност, ако е компрометирана лична информация, или загуба на поверителни данни, ако чувствителна кореспонденция или интелектуална собственост са изложени на риск в злонамерен трафик на имейли и съобщения.

Фишинг поща по тип

Кръгова диаграма, показваща процентното разпределение на различните видове фишинг имейли, използвани при атаки за компрометиране на бизнес електронна поща. Най-разпространеният тип е примамката - 62,35%, следван от заплатите (14,87%), фактурата (8,29%), ваучер за подарък (4,87%), бизнес информацията (4,4%) и други (5,22%).
Данните представляват моментна снимка на BEC фишинга по видове от януари 2023 г. до април 2023 г. Научете повече за това изображение на страница 4 от пълния отчет

Основните мишени за BEC са изпълнителни директори и други висши ръководители, финансови мениджъри, служители в областта на човешките ресурси, които имат достъп до документи на служителите, като например номера на социални осигуровки, данъчни декларации или друга информация за идентифициране на лица. Новите служители може би са по-малко склонни да проверяват непознати искания за електронна поща. Почти всички форми на BEC атаки се увеличават. Основните тенденции за целеви BEC включват примамки, заплати, фактури, карти за подаръци и бизнес информация.

Атаките BEC се отличават от останалите киберпрестъпни атаки с това, че акцентират върху социалното инженерство и изкуството на измамата. Вместо да използват уязвимости в неподправени устройства, операторите на BEC се стремят да се възползват от ежедневния поток от имейли и други съобщения, за да подмамят жертвите да предоставят финансова информация или да предприемат директни действия, като например несъзнателно изпращане на средства в сметки на парични мулета, които помагат на престъпниците да извършват измамни парични преводи

За разлика от "шумната" рансъмуер атака, която включва разрушителни съобщения за изнудване, операторите на BEC играят тиха игра на доверие, като използват измислени крайни срокове и спешност, за да подтикнат получателите, които може да са разсеяни или да са свикнали с този вид спешни искания. Вместо върху нов зловреден софтуер противниците на BEC насочват тактиката си към инструменти, подобряващи мащаба, правдоподобността и успеваемостта на зловредните съобщения

Въпреки че бяха извършени няколко високопрофилни атаки, при които се използват жилищни IP адреси, Microsoft споделя опасенията на правоприлагащите органи и други организации, че тази тенденция може бързо да се разрасне, което в повече случаи ще затрудни откриването на дейността с традиционните аларми или известия.

Различията в местата за влизане в системата по своята същност не са злонамерени. Например даден потребител може да има достъп до служебни приложения с лаптоп чрез локална Wi-Fi мрежа и едновременно с това да е влязъл в същите служебни приложения на своя смартфон чрез клетъчна мрежа. Поради тази причина организациите могат да адаптират невъзможните прагове за сигнализиране на пътувания въз основа на своята толерантност към риска. Индустриалният мащаб на локализираните IP адреси за BEC атаки обаче създава нови рискове за предприятията, тъй като адаптивните BEC и други нападатели все по-често се възползват от възможността да насочват зловредна поща и други дейности чрез адресно пространство в близост до целите си.

Препоръки:

  • Увеличете максимално настройките за защита, за да защитите входящата си поща: Предприятията могат да конфигурират пощенските си системи да маркират съобщения, изпратени от външни страни. Активирайте известия, когато изпращачите на поща не са проверени. Блокирайте изпращачи с идентичност, която не можете да потвърдите самостоятелно, и докладвайте писмата им като фишинг или спам в приложенията за електронна поща.
  • Настройте силно удостоверяване: Направете имейла си по-труден за компрометиране, като включите многофакторно удостоверяване, което изисква код, ПИН код или пръстов отпечатък, за да влезете, освен паролата ви. Акаунтите с активиран MFA са по-устойчиви на риска от компрометирани идентификационни данни и опити за влизане с груба сила, независимо от адресното пространство, което използват нападателите.
  • Обучете служителите да разпознават предупредителните знаци: Научете служителите да разпознават измамни и други злонамерени имейли, като например несъответствие на домейна и имейл адреса, както и риска и разходите, свързани с успешни BEC атаки.

Борбата с компрометирането на бизнес имейли изисква бдителност и информираност

Въпреки че извършителите на заплахи са създали специализирани инструменти за улесняване на BEC, включително фишинг комплекти и списъци с проверени имейл адреси, насочени към ръководителите на C-Suite, водещите счетоводители и други специфични роли, предприятията могат да използват методи за изпреварване на атаките и намаляване на риска.

Например политиката за удостоверяване, докладване и съответствие на съобщенията, базирана на домейна (DMARC), с "отхвърляне" осигурява най-силната защита срещу фалшифицирани имейли, като гарантира, че неудостоверените съобщения се отхвърлят в пощенския сървър още преди доставката. Освен това докладите DMARC осигуряват механизъм, чрез който организацията може да бъде информирана за източника на очевидна фалшификация - информация, която обикновено не получава.

Въпреки че организациите са навлезли в управлението на напълно отдалечени или хибридни работни сили от няколко години, все още е необходимо преосмисляне на осведомеността за сигурността в ерата на хибридната работа. Тъй като служителите работят с повече доставчици и подизпълнители и по този начин получават повече имейли, които виждат за първи път, е наложително да сте наясно какво означават тези промени в работния ритъм и кореспонденцията за вашата повърхност на атака.

Опитите за BEC от страна на извършителите на заплахи могат да бъдат под различни форми - включително телефонни обаждания, текстови съобщения, имейли или съобщения в социалните мрежи. Често срещани тактики са и подправянето на съобщения с искания за удостоверяване и представянето на отделни лица и компании.

Добра първа защитна стъпка е укрепването на правилата за счетоводството, вътрешния контрол, заплатите или човешките ресурси за това как да се реагира при получаване на искания или уведомления за промени по отношение на платежните инструменти, банковите услуги или банковите преводи. Ако направите крачка назад, за да оставите настрана заявките, които подозрително не следват политиките, или се свържете с искащата организация чрез нейния легитимен сайт и представители, това може да спаси организациите от огромни загуби.

Атаките на BEC са чудесен пример за това защо киберрискът трябва да бъде разглеждан по междуфункционален начин, като изпълнителните директори и лидерите, финансовите служители, мениджърите на човешките ресурси и други лица, които имат достъп до данните на служителите, като например номера на социални осигуровки, данъчни декларации, информация за контакт и графици, са на масата заедно със служителите, отговарящи за ИТ, съответствието и киберриска.

Препоръки:

  • Използвайте сигурно решение за електронна поща: Съвременните облачни платформи за електронна поща използват възможности на изкуствения интелект, като например машинно обучение, за да подобрят защитата, като добавят усъвършенствана защита от фишинг и откриване на подозрително препращане. Приложенията в облака за електронна поща и производителност също предлагат предимствата на непрекъснатите автоматични актуализации на софтуера и централизираното управление на политиките за сигурност.
  • Защитете идентичностите, за да забраните страничното движение: Защитата на самоличността е ключов стълб в борбата с BEC. Контролирайте достъпа до приложения и данни със Zero Trust и автоматизирано управление на идентичността.
  • Приемете сигурна платформа за плащане: Помислете за преминаване от фактури по имейл към система, специално предназначена за удостоверяване на плащания.
  • Натиснете паузата и използвайте телефонно обаждане, за да проверите финансовите транзакции: Струва си да отделите време за бърз телефонен разговор, за да потвърдите, че нещо е легитимно, вместо да направите предположение с бърз отговор или кликване, което може да доведе до кражба. Установете политики и очаквания, с които да напомняте на служителите, че е важно да се свързват директно с организации или лица, а не да използват информация, предоставена в подозрителни съобщения, за да проверяват повторно финансови и други искания.

Научете повече за BEC и иранските извършители на заплахи с iпрозренията на Симеон Какпови, старши анализатор по разузнаване на заплахите.

Снимковите данни представляват средните годишни и дневни опити за BEC, открити и разследвани от Набор от ресурси на Microsoft срещу заплахи между април 2022 г. и април 2023 г. Уникалните премахвания на фишинг URL адреси, ръководени от звеното за цифрови престъпления на Microsoft, са между май 2022 г. и април 20231 г.1

  • 35 милиона годишно
  • 156 000 дневно
  • 417 678 свалени фишинг URL адреса
  1. [1]

    Методология: Що се отнася до моментните данни, платформите на Microsoft, включително Microsoft Defender за Office, Набор от ресурси на Microsoft срещу заплахи и Microsoft Digital Crimes Unit (DCU), предоставиха анонимни данни за уязвимостите на устройствата и данни за дейността и тенденциите на участниците в заплахите. Освен това проучванията са използвали данни от публични източници, като например доклада на Федералното бюро за разследване (ФБР) за интернет престъпленията през 2022 г. и Агенцията за сигурност на & Инфраструктурата за киберсигурност (CISA). Статистиката на корицата се основава на бизнес имейлите на Microsoft DCU Киберпрестъпления като услуга от 2019 до 2022 г. Снимковите данни представляват коригирани годишни и среднодневни открити и разследвани опити за BEC.

Компрометиране на имейл от бизнес клас Cyber signals Защита на самоличностите Фишинг

Свързани статии

Прозрения от експерта по ирански заплахи Симеон Какпови

Старши анализаторът по разузнаване на заплахи Симеон Какпови разказва за обучението на следващото поколение киберзащитници и за преодоляването на огромната упоритост на иранските участници в заплахи.
Научете повече

Уникалният риск за сигурността на IoT/OT устройствата

В нашия последен отчет ние изследваме как увеличаването на възможностите за свързване чрез IoT/OT води до по-големи и по-сериозни уязвимости, от които да се възползват организираните извършители, представляващи кибер-заплаха.
Научете повече

Анатомията на повърхността на съвременната атака

За да се справят с все по-сложната повърхност на атака, организациите трябва да разработят цялостно положение на защитата. С шест ключови области на повърхността на атака този отчет ще ви покаже как правилното разузнаване за заплахи може да помогне за промяна на полето на игра в полза на защитниците.
Научете повече

Следвайте Microsoft Security