Få innsikt rett fra ekspertene på Microsoft Threat Intelligence Podcast. Lytt nå.
Analyse av kompromittering av e-post
Hvert eneste angrep med kompromittering av forretnings-e-post (BEC) er langt fra tilfeldig, og er et spesifikt, skreddersydd forsøk som retter seg mot bestemte bransjer, profesjonelle og enkeltpersoner, for å maksimere sjansen for at cyberkriminelle får tilgang til informasjon og penger.
BEC-angrep består av to nøkkelfaser.
Fase 1 starter med uautorisert tilgang – som kan skje gjennom phishing, skadelige programmer, bedragerdomener eller syndikater innen nettkriminalitet-som-tjeneste (CaaS) som selger legitimasjon til høystbydende – etterfulgt av en periode med overvåking.
I løpet av denne tiden skaffer de nettkriminelle seg kunnskapen de trenger til fase to i BEC-angrepet: svindel. De leser e-posten din. De ser på det klarerte nettverket ditt. De ser etter når penger overføres fra kontoer.
Matt Lundy hos Microsoft trusselinformasjon forklarer: «Når en cyberkriminell får tilgang til innboksen til et mål, får de tilgang til all korrespondansen til vedkommende. De vet hvem du snakker med, hvem du regelmessig kommuniserer med – de kjenner kommunikasjonsstilen din.»
Så fort cyberkriminelle vet nok om et mål til å fortelle en troverdig historie, bruker de denne informasjonen til å få tilgang eller penger.
Den « sosiale manipuleringen som distribueres av disse cyberkriminelle er veldig kompleks», fortsetter Lundy. Den har som mål og er designet for å lure folk.»
Verktøyene og tjenestene cyberkriminelle skaffer seg fra markeder på det mørke nettet for å utføre angrepene, er også komplekse.
«Menneskene som utfører svindelfasen i BEC-angrepet er ikke nødvendigvis de samme menneskene som utfører phishing-fasen i angrepet», forklarer Lundy. «En av årsakene til at CaaS er et såpass voksende og vrient problem, er at den gjør det mulig for kriminelle å utvide.»
BEC-angrep forblir en utfordring siden cyberkriminelle fortsetter å utvikle teknikker og taktikker for å unngå forsvaret som er satt inn av organisasjoner. Sikkerhetsforskere forventer også å se spesifikk rekognosering av cyberkriminelle i bransjer der store telegrafiske overføringer er en del av hverdagen.
Den offentlige entreprenørsektoren vil sannsynligvis fortsette å være en rik kilde til materiell for BEC-spesialister, på grunn av budgivningsprosessens offentlige karakter. Lundy forklarer hvordan cyberkriminelle ofte lager en effektiv sosial manipuleringskampanje med informasjon som er lett tilgjengelig, med et enkelt internettsøk.
«De retter seg spesifikt mot enkeltpersoner som har makt til å godkjenne pengeoverføringer. Disse store BEC-angrepene som fører til tap av millioner av dollar, skjer ikke på grunn av en tilfeldig e-post. Det er ikke en avansert cyberkriminalitet av typen avgiftssvindel. Det er veldig godt gjennomtenkt. Det er veldig spesifikt og har en bestemt utforming i tankene. Og det er ofte hjulpet og tilrettelagt for ulike elementer av cyberkriminalitet-som-en-tjeneste-nettverket, særlig den spesifikke legitimasjonen.»
Følg Microsoft