Trace Id is missing

Veranderingen in tactiek dragen bij aan het stijgende aantal gevallen van inbreuk op zakelijke e-mail

Cyber Signals-editie 4: The Confidence Game

Fraude met zakelijke e-mails blijft toenemen: het Federal Bureau of Investigation (FBI) rapporteert meer dan 21.000 klachten met gecorrigeerde verliezen van meer dan USD 2,7 miljard. Microsoft heeft een stijging waargenomen in het geavanceerde niveau en tactieken van bedreigingsactoren die gespecialiseerd zijn in inbreuken op zakelijke e-mail (BEC), waaronder het gebruik van particuliere IP-adressen om het idee te geven van lokale aanvalscampagnes.

Deze nieuwe tactiek helpt criminelen om nog meer geld te verdienen met cybermisdaad als een dienst (CaaS) en heeft de aandacht getrokken van de federale rechtshandhaving omdat cybercriminelen hiermee waarschuwingen voor 'onmogelijk traject' kunnen omzeilen. Deze worden gebruikt om afwijkende aanmeldpogingen en andere verdachte accountactiviteiten te identificeren en te blokkeren.

We zijn allemaal beschermers van cyberbeveiliging.
De Digital Crimes Unit van Microsoft heeft een toename van 38 procent waargenomen in cybermisdaad als een dienst gericht op zakelijke e-mail tussen 2019 en 2022.

Een blik op de opkomst van de BEC-service op industriële schaal van BulletProftLink

Cybercriminele activiteiten rond inbreuken op zakelijke e-mail nemen toe. Microsoft ziet een belangrijke trend in het gebruik van platforms door aanvallers, zoals BulletProftLink, een populair platform voor het maken van kwaadaardige e-mailcampagnes op industriële schaal. BulletProftLink verkoopt een end-to-end service inclusief sjablonen, hosting en geautomatiseerde services voor BEC. Criminelen die deze CaaS gebruiken, ontvangen referenties en het IP-adres van het slachtoffer.

BEC-bedreigingsactoren kopen vervolgens IP-adressen van IP-services die overeenkomen met de locatie van het slachtoffer en creëren zo IP-proxy's waarmee cybercriminelen hun herkomst kunnen verbergen. BEC-aanvallers kunnen nu, gewapend met gelokaliseerde adresruimte om hun schadelijke activiteiten te ondersteunen, naast gebruikersnamen en wachtwoorden, bewegingen verhullen, vlaggen voor 'onmogelijk traject' omzeilen en een gateway openen om verdere aanvallen uit te voeren. Microsoft heeft opgemerkt dat bedreigingsactoren in Azië en een Oost-Europees land deze tactiek het vaakst toepassen.

Onmogelijk traject is een detectie die wordt gebruikt om aan te geven dat een gebruikersaccount mogelijk in verkeerde handen is gevallen. Deze waarschuwingen markeren fysieke beperkingen die aangeven dat een taak op twee locaties wordt uitgevoerd, zonder de juiste hoeveelheid tijd om van de ene locatie naar de andere te komen.

De specialisatie en consolidatie van deze sector van de cybereconomie zou het gebruik van IP-adressen in woonwijken kunnen doen toenemen om detectie te omzeilen. IP-adressen in woonwijken die zijn gekoppeld aan locaties op grote schaal, bieden cybercriminelen de mogelijkheid om grote hoeveelheden gecompromitteerde referenties en toegangsaccounts te verzamelen. Bedreigingsactoren gebruiken IP-/proxyservices die marketeers en anderen voor onderzoek kunnen gebruiken om deze aanvallen uit te breiden. Eén IP-serviceprovider heeft bijvoorbeeld honderd miljoen IP-adressen die op elk moment kunnen worden gedraaid of gewijzigd.

Terwijl bedreigingsactoren phishing als een dienst, zoals Evil Proxy, Naked Pages en Caffeine, gebruiken om phishingcampagnes uit te voeren en gecompromitteerde referenties te verkrijgen, biedt BulletProftLink een gedecentraliseerd gateway-ontwerp, dat openbare blockchain-knooppunten van Internet Computer omvat om phishing- en BEC-sites te hosten, waardoor een nog geavanceerder gedecentraliseerd webaanbod ontstaat dat veel moeilijker te ontregelen is. Het verspreiden van de infrastructuur van deze sites over de complexiteit en de toenemende groei van openbare blockchains maakt het identificeren ervan, en het afstemmen van de acties van de takedown, ingewikkelder. Hoewel je een phishing-link kunt verwijderen, maar de inhoud blijft online en cybercriminelen keren terug om een nieuwe link naar bestaande CaaS-inhoud te maken.

Geslaagde BEC-aanvallen kosten organisaties jaarlijks honderden miljoenen dollars. In 2022 startte het Recovery Asset Team van de FBI de Financial Fraud Kill Chain na 2.838 BEC-klachten over binnenlandse transacties met potentiële verliezen van meer dan USD 590 miljoen.

Hoewel de financiële gevolgen aanzienlijk zijn, kan de schade op de langere termijn bestaan uit identiteitsdiefstal als persoonsgegevens (PII) zijn gecompromitteerd, of verlies van vertrouwelijke gegevens als gevoelige correspondentie of intellectueel eigendom wordt blootgelegd in schadelijke e-mails en berichtenverkeer.

Phishingmail per type

Cirkeldiagram met de procentuele verdeling van verschillende soorten phishing-e-mails die worden gebruikt bij aanvallen met inbreuken op zakelijke e-mails. Lokmiddelen zijn met 62,35% het meest voorkomende type, gevolgd door payrolls (14,87%), facturen (8,29%), cadeaukaarten (4,87%), bedrijfsgegevens (4,4%) en overige (5,22%).
De gegevens vormen een momentopname van BEC-phishing per type van januari 2023 tot en met april 2023. Meer informatie over deze afbeelding op pagina 4 van het volledige rapport

De belangrijkste doelwitten voor BEC zijn directeuren en andere leidinggevenden, financiële managers, personeelsmedewerkers met toegang tot personeelsgegevens zoals sofinummers, belastingoverzichten of andere persoonsgegevens. Nieuwe medewerkers die mogelijk minder snel onbekende e-mailverzoeken zullen verifiëren, zijn ook het doelwit. Bijna alle vormen van BEC-aanvallen nemen toe. De toptrends voor gerichte BEC omvatten lokmiddelen, payrolls, facturen, cadeaukaarten en bedrijfsgegevens.

BEC-aanvallen onderscheiden zich in de cybercriminaliteit door hun nadruk die ze leggen op social engineering en de kunst van het misleiden. In plaats van kwetsbaarheden in apparaten zonder patches te misbruiken, proberen BEC-operators de dagelijkse stortvloed van e-mails en andere berichten aan te vallen om slachtoffers te verleiden tot het verstrekken van financiële informatie of het ondernemen van een directe actie, zoals het onbewust overmaken van geld naar rekeningen van geldezels, waarmee criminelen frauduleuze geldtransfers kunnen uitvoeren

In tegenstelling tot 'luidruchtige' ransomware-aanvallen met verstorende afpersingsberichten, spelen BEC-operators een vertrouwensspelletje door gebruik te maken van vervalste deadlines en urgentie om ontvangers onder druk te zetten, die afgeleid kunnen zijn of gewend zijn aan dit soort dringende verzoeken. In plaats van nieuwe malware richten BEC-aanvallers hun tactieken op hulpprogramma's die de schaal, aannemelijkheid en het succespercentage van kwaadaardige berichten verbeteren

Hoewel er verschillende in het oog springende aanvallen zijn geweest waarbij IP-adressen uit woonwijken werden gebruikt, deelt Microsoft de bezorgdheid van wetshandhavers en andere organisaties dat deze trend snel kan worden uitgebreid, waardoor het in meer gevallen moeilijk wordt om activiteiten te detecteren met traditionele alarmen of meldingen.

Variaties in aanmeldingslocaties zijn niet altijd kwaadaardig. Een gebruiker kan bijvoorbeeld met een laptop via lokale wifi toegang hebben tot zakelijke toepassingen en tegelijkertijd via een mobiel netwerk op een smartphone zijn aangemeld bij dezelfde zakelijke toepassingen. Daarom kunnen organisaties drempels voor vlaggen van onmogelijk trajecten afstemmen op hun risicotolerantie. De industriële schaal van gelokaliseerde IP-adressen voor BEC-aanvallen brengt echter nieuwe risico's met zich mee voor bedrijven, aangezien adaptieve BEC- en andere aanvallers steeds vaker voor de optie kiezen om schadelijke e-mails en andere activiteiten via adresruimte in de buurt van hun doelwitten te routeren.

Aanbevelingen:

  • Maximaliseer de beveiligingsinstellingen die je Postvak IN beschermen: bedrijven kunnen hun e-mailsystemen zo configureren dat berichten van externe partijen worden gemarkeerd. Schakel meldingen in voor wanneer e-mailafzenders niet zijn geverifieerd. Blokkeer afzenders met identiteiten die je niet kunt bevestigen en rapporteer hun e-mails als phishing of spam in e-mailtoepassingen.
  • Sterke verificatie instellen: maak je e-mail moeilijker te compromitteren door meervoudige verificatie in te schakelen, die behalve je wachtwoord ook een code, pincode of vingerafdruk vereist om je aan te melden. Accounts met MFA ingeschakeld zijn beter bestand tegen het risico van gecompromitteerde referenties en 'brute-force'-aanmeldpogingen, ongeacht de adresruimte die aanvallers gebruiken.
  • Train werknemers om waarschuwingssignalen te herkennen: Leer medewerkers om frauduleuze en andere kwaadaardige e-mails te herkennen, zoals een verkeerde combinatie van domein- en e-mailadres, en het risico en de kosten van geslaagde BEC-aanvallen.

De strijd tegen inbreuken op zakelijke e-mail vereist waakzaamheid en bewustzijn

Hoewel bedreigingsactoren speciale hulpprogramma's hebben ontwikkeld om BEC mogelijk te maken, waaronder phishingkits en lijsten met geverifieerde e-mailadressen die gericht zijn op bedrijfsleiders, leveranciers en andere specifieke rollen, kunnen bedrijven methoden gebruiken om aanvallen te voorkomen en risico's te beperken.

Een DMARC-beleid (op domein gebaseerd berichtsverificatie-, rapportage- en conformatiteit) van 'weigeren' biedt de sterkste bescherming tegen vervalste e-mails, door ervoor te zorgen dat niet-geverifieerde berichten worden geweigerd op de mailserver, zelfs voordat ze worden afgeleverd. Daarnaast bieden DMARC-rapporten een mechanisme voor een bedrijf om op de hoogte te worden gebracht van de bron van een schijnbare vervalsing, informatie die ze normaal gesproken niet zouden ontvangen.

Hoewel organisaties al een paar jaar bezig zijn met het beheren van volledig externe of hybride medewerkers, is het nog steeds nodig om opnieuw na te denken over bewustzijn wat betreft beveiliging in het tijdperk van hybride werk. Omdat medewerkers met meer leveranciers en aannemers werken en daardoor meer 'first seen' e-mails ontvangen, is het noodzakelijk dat je je bewust bent van wat deze veranderingen in werkritmes en correspondentie betekenen voor je kwetsbaarheid voor aanvallen.

BEC-pogingen van bedreigingsactoren kunnen vele vormen aannemen, waaronder telefoongesprekken, sms-berichten, e-mails of berichten via sociale media. Het vervalsen van berichten met verificatieverzoeken en het zich voordoen als personen en bedrijven zijn ook veelgebruikte tactieken.

Een goede eerste defensieve stap is het aanscherpen van beleidsregels voor de afdelingen boekhouding, interne controles, payroll of personeelszaken over hoe je moet reageren op verzoeken of meldingen van wijzigingen met betrekking tot betaalmiddelen, bankieren of directe overboekingen. Door een stapje terug te doen en verzoeken die op een verdachte manier niet in overeenstemming zijn met het beleid, aan de kant te schuiven, of door contact op te nemen met een verzoekende entiteit via haar legitieme site en vertegenwoordigers, kunnen organisaties enorme verliezen voorkomen.

BEC-aanvallen zijn een goed voorbeeld van waarom cyberrisico's via verschillende afdelingen moeten worden aangepakt, waarbij directeurs en leiders, financiële medewerkers, HR-managers en anderen met toegang tot gegevens van medewerkers, zoals sofinummers, belastingaangiften, contactgegevens en roosters, aan tafel zitten met IT-, compliance- en cyberrisicobeheerders.

Aanbevelingen:

  • Gebruik een veilige e-mailoplossing: de huidige e-mailcloudplatforms maken gebruik van AI-mogelijkheden zoals machine learning om de verdediging te verbeteren, door geavanceerde bescherming tegen phishing en detectie van verdachte doorgestuurde e-mails toe te voegen. Cloud-apps voor e-mail en productiviteit bieden ook de voordelen van constante, automatische software-updates en gecentraliseerd beheer van het beveiligingsbeleid.
  • Identiteiten beveiligen om laterale verplaatsingen te voorkomen: het beschermen van identiteiten is een belangrijke pijler in de strijd tegen BEC. Controleer de toegang tot apps en gegevens met Zero Trust en geautomatiseerd identiteitsbeheer.
  • Implementeer een veilig betalingsplatform: overweeg om van gemailde facturen over te stappen op een systeem dat speciaal is ontworpen om betalingen te verifiëren.
  • Neem een stap terug en verifieer financiële transacties via telefoon: een kort telefoongesprek om te bevestigen dat iets legitiem is, is de tijd meer dan waard, in plaats van uit te gaan van een snel antwoord of een klik, wat tot diefstal kan leiden. Stel beleidsregels en verwachtingen op die medewerkers eraan herinneren dat het belangrijk is om rechtstreeks contact op te nemen met organisaties of personen, en geen informatie te gebruiken die in verdachte berichten wordt verstrekt, om financiële en andere verzoeken te controleren.

Meer informatie over BEC en Iraanse bedreigingsactoren met inzichten van Simeon Kakpovi, Senior Threat Intelligence Analyst.

Gegevens van momentopnames vertegenwoordigen gemiddelde jaarlijkse en dagelijkse BEC-pogingen die zijn gedetecteerd en onderzocht door Microsoft Bedreigingsinformatie tussen april 2022 en april 2023. Takedowns van unieke phishing-URL's onder leiding van Microsofts Digital Crimes Unit liggen tussen mei 2022 tot april 20231.

  • Jaarlijks 35 miljoen
  • Dagelijks 156.000
  • 417.678 takedowns van phishing-URL's
  1. [1]

    Methodologie: Voor gegevens van momentopnames leverden Microsoft-platforms, waaronder Microsoft Defender for Office, Microsoft Bedreigingsinformatie en Microsoft Digital Crimes Unit (DCU), geanonimiseerde gegevens over kwetsbaarheden van apparaten en gegevens over activiteiten en trends van bedreigingsactoren. Daarnaast hebben onderzoekers gegevens gebruikt uit openbare bronnen, bijvoorbeeld Federal Bureau of Investigation (FBI) 2022 Internet Crime Report en Cybersecurity & Infrastructure Security Agency (CISA). De statistiek op de omslag is gebaseerd op de opdrachten van Microsoft DCU voor inbreuken op zakelijke e-mail met cybermisdaad als een dienst van 2019 tot en met 2022. Gegevens van momentopnames vertegenwoordigen aangepaste jaarlijkse en gemiddelde dagelijkse BEC-pogingen die zijn gedetecteerd en onderzocht.

Verwante artikelen

Inzichten van de Simeon Kakpove, export op het gebied van Iraanse bedreigingsactoren

Simeon Kakpovi, Senior Threat Intelligence Analyst, vertelt over het trainen van de volgende generatie cyberverdedigers en het overwinnen van de vastberadenheid van Iraanse bedreigingsactoren.

Het unieke beveiligingsrisico van IoT-/OT-apparaten

In ons meest recente rapport onderzoeken we hoe toenemende IoT/OT-connectiviteit leidt tot grotere en ernstigere kwetsbaarheden die kunnen worden uitgebuit door georganiseerde cyberbedreigingsactoren.

De anatomie van een moderne kwetsbaarheid voor aanvallen

Organisaties moeten een uitgebreid beveiligingsbeleid ontwikkelen om de steeds complexere kwetsbaarheid voor aanvallen het hoofd te kunnen bieden. Met zes cruciale kwetsbaarheden voor aanvallen laat dit rapport zien hoe de juiste informatie over bedreigingen kan helpen om de bescherming hiertegen te optimaliseren.

Volg Microsoft Beveiliging