Taktikas maiņa palielina biznesa e-pasta apdraudējumu apmēru

Kibernoziedznieku aktivitātes saistībā ar biznesa e-pasta apdraudējumu paātrinās. Microsoft novēro spilgtu tendenci, ka uzbrucēji izmanto tādas platformas kā BulletProftLink, kas ir populāra platforma industriāla mēroga ļaunprātīgu e-pasta kampaņu veidošanai. BulletProftLink pārdod kompleksus pakalpojumus, tostarp veidnes, viesošanu un automatizētus BEC pakalpojumus. Kaitnieki, kas izmanto šo CaaS, saņem akreditācijas datus un upura IP adresi.

Pēc tam BEC draudu izpildītāji iegādājas IP adreses no vietējiem IP pakalpojumiem, kas atbilst upura atrašanās vietai, izveidojot vietējos IP starpniekservisus, kas ļauj kibernoziedzniekiem maskēt savu izcelsmi. Tagad BEC uzbrucēji, papildus lietotājvārdiem un parolēm apbruņojušies ar vietējām adresēm, lai atbalstītu savas ļaunprātīgās darbības, var slēpt savas kustības, apiet “neiespējamas ceļošanas” karodziņus un atvērt vārtejas, lai veiktu turpmākus uzbrukumus. Microsoft ir novērojis, ka šo taktiku visbiežāk izmanto draudu izpildītāji Āzijā un kādā Austrumeiropas valstī.

Neiespējamā ceļošana ir noteikšana, ko izmanto, lai norādītu, ka lietotāja konts varētu būt apdraudēts. Šie brīdinājumi norāda uz fiziskiem ierobežojumiem, kas liecina, ka uzdevums tiek veikts divās vietās, bet nav atvēlēts pietiekami daudz laika, lai pārvietotos no vienas atrašanās vietas uz otru.

Šīskibernoziegumu ekonomikasspecializācija un konsolidācija varētu ievērojami palielināt vietējo IP adrešu izmantošanu, lai izvairītos no atklāšanas. Iedzīvotāju IP adreses, kas ir piesaistītas atrašanās vietām, nodrošina kibernoziedzniekiem iespēju savākt lielu daudzumu apdraudētu akreditācijas datu un piekļuves kontu. Draudu izpildītāji izmanto IP/starpniekservisu pakalpojumus, kurus marketologi un citi var izmantot pētījumiem, lai paplašinātu šos uzbrukumus. Piemēram, vienam IP pakalpojumu sniedzējam ir 100 miljoni IP adrešu, kuras var rotēt vai mainīt katru sekundi.

Lai gandraudu izpildītājiizmanto tādus pikšķerēšanas pakalpojumus kā Evil Proxy, Naked Pages un Caffeine, lai izvietotu pikšķerēšanas kampaņas un iegūtu apdraudētus akreditācijas datus,BulletProftLinkpiedāvā decentralizētu vārtejas dizainu, kas ietver interneta datora publiskos blokķēdes mezgluspikšķerēšanasun BEC vietņu viesošanai, radot vēl sarežģītāku decentralizētu tīmekļa piedāvājumu, kuru ir daudz grūtāk izjaukt. Sadalot šo vietņu infrastruktūru pēc publisko blokķēžu sarežģītības un augošās attīstības, ir sarežģītāk tās identificēt un saskaņot veiktās darbības. Lai gan varat noņemt pikšķerēšanas saiti, saturs paliek tiešsaistē, un kibernoziedznieki atgriežas, lai izveidotu jaunu saiti uz esošo CaaS saturu.

Veiksmīgi BEC uzbrukumi organizācijām ik gadu izmaksā simtiem miljonu dolāru. 2022. gadā FIB līdzekļu atgūšanas komanda uzsāka finanšu krāpniecības iznīcināšanas ķēdi saistībā ar 2838 BEC sūdzībām par iekšzemes transakcijām,kuru iespējamie zaudējumi bija vairāk nekā 590 miljoni USD.

Lai gan finansiālās sekas ir ievērojamas, plašāki ilgtermiņa zaudējumi var ietvert identitātes zādzību, ja tiek apdraudēta personu identificējoša informācija (PII), vai konfidenciālu datu zaudēšanu, ja sensitīva sarakste vai intelektuālais īpašums tiek atklāts ļaunprātīgā e-pastu un ziņojumu trafikā.

Lai gan draudu izpildītāji ir izveidojuši specializētus rīkus BEC veicināšanai, tostarp pikšķerēšanas komplektus un pārbaudītu e-pasta adrešu sarakstus, kas paredzēti C līmeņa vadītājiem, grāmatvedībai un citām specifiskām lomām, uzņēmumi var izmantot metodes, lai iepriekš novērstu uzbrukumus un mazinātu risku.

Piemēram, uz domēnbalstīta ziņojumu autentificēšanas, ziņošanas un atbilstības pārbaudes (DMARC) politika “noraidīt” nodrošina visstiprāko aizsardzību pret viltotu e-pastu, nodrošinot, ka neautentificēti ziņojumi tiek noraidīti pasta serverī vēl pirms piegādes. Turklāt DMARC ziņojumi nodrošina mehānismu, ar kura palīdzību organizācija tiek informēta par acīmredzamas viltošanas avotu, informāciju, ko tā parasti nesaņemtu.

Lai gan organizācijas jau dažus gadus pārvalda pilnībā attālo vai hibrīdo darbaspēku, pārdomāta drošības izpratne hibrīddarba laikmetā joprojām ir nepieciešama. Tā kā darbinieki strādā ar vairākiem piegādātājiem un līgumdarbiniekiem, tādējādi saņemot vairāk “pirmo reizi redzēta” e-pasta ziņojumu, ir jāapzinās, ko šīs izmaiņas darba ritmā un sarakstē nozīmējūsu uzbrukumu tvērumā.

Draudu izpildītāju BEC uzbrukumi var izpausties dažādās formās, tostarp kā tālruņa zvani, īsziņas, e-pasta ziņojumi vai ziņojumi sociālajos tīklos. Izplatīta taktika ir arī autentifikācijas pieprasījumu ziņojumu viltošana un izlikšanās par personām un uzņēmumiem.

Labs pirmais aizsardzības solis ir grāmatvedības, iekšējās kontroles, algu saraksta vai cilvēkresursu nodaļu politikas nostiprināšana par to, kā reaģēt, ja tiek saņemti pieprasījumi vai paziņojumi par izmaiņām saistībā ar maksāšanas līdzekļiem, banku pakalpojumiem vai elektroniskajiem pārskaitījumiem. Atkāpjoties no sāniskiem pieprasījumiem, kas aizdomīgi neievēro politiku, vai sazinoties ar pieprasītāju caur tās likumīgo vietni un pārstāvjiem, var pasargāt organizācijas no lieliem zaudējumiem.

BEC uzbrukumi ir lielisks piemērs tam, kāpēc kiberriskam jāpievēršas daudzfunkcionāli, līdzās IT, atbilstības un kiberriska speciālistiem pie sarunu galda aicinot arī vadītājus un līderus, finanšu darbiniekus, cilvēkresursu vadītājus un citus, kuriem ir piekļuve darbinieku datiem, piemēram, sociālās apdrošināšanas numuriem, nodokļu pārskatiem, kontaktinformācijai un darba grafikiem.

Papildinformācija par BEC un Irānas draudu izpildītājiem , izmantojot Simeona Kakpovi (Simeon Kakpovi), vecākā draudu informācijas analītiķa, ieskatu.