Trace Id is missing
Przejdź do głównej zawartości
Security Insider

Zmienianie taktyk powoduje wzrost liczby naruszeń biznesowej poczty e-mail

Pobierz
Udostępnij

Cyber Signals, 4. wydanie: Gra polegająca na wykorzystaniu zaufania

Liczba oszustw związanych z biznesową pocztą e-mail stale rośnie — Federalne Biuro Śledcze (FBI) zgłosiło ponad 21 000 skarg, w przypadku których skorygowane straty przekroczyły 2,7 ​​mld USD. Firma Microsoft zaobserwowała wzrost wyrafinowania i liczby taktyk stosowanych przez źródła zagrożeń specjalizujące się w naruszeniach biznesowej poczty e-mail (BEC, business email compromise), w tym między innymi wykorzystywanie adresów IP (Internet Protocol) przypisanych do prywatnych miejsc zamieszkania w celu wywołania wrażenia, że kampanie ataków wygenerowano lokalnie.

Ta nowa taktyka pomaga przestępcom w dalszym zarabianiu na cyberprzestępstwach jako usługach (CaaS) i przykuła uwagę federalnych organów ścigania, ponieważ pozwala cyberprzestępcom uniknąć alertów dotyczących „niemożliwej podróży” służących do identyfikowania i blokowania nietypowych prób zalogowania się oraz innych podejrzanych działań dotyczących kont.

Wszyscy jesteśmy cyberobrońcami.
Jednostka firmy Microsoft ds. przestępstw cyfrowych (DCU, Digital Crimes Unit) zaobserwowała 38-procentowy wzrost intensywności działań typu cyberprzestępstwo jako usługa (CaaS) wycelowanych w biznesową pocztę e-mail w latach 2019–2022.

Szczegóły wzrostu popularności usługi BEC o skali przemysłowej platformy BulletProftLink

Działania cyberprzestępców związane z naruszeniem biznesowej poczty e-mail nabierają tempa. Firma Microsoft obserwuje znaczący trend związany z wykorzystywaniem przez atakujących platform, takich jak BulletProftLink, popularna platforma do tworzenia kampanii z wykorzystaniem złośliwych wiadomości na skalę przemysłową. BulletProftLink sprzedaje kompleksową usługę do ataków BEC obejmującą szablony, hosting i usługi zautomatyzowane. Atakujący korzystający z tego rozwiązania CaaS otrzymują poświadczenia i adres IP ofiary.

Następnie źródła zagrożeń prowadzące działania BEC kupują zgodne z lokalizacją ofiary adresy IP od dostawców usług IP dla gospodarstw domowych, tworząc serwery proxy z adresami IP przypisanymi do prywatnych miejsc zamieszkania, które umożliwiają cyberprzestępcom maskowanie ich pochodzenia. Tak uzbrojeni w zlokalizowaną przestrzeń adresową, na której mogą oprzeć swoje złośliwe działania, oraz w nazwy użytkowników i hasła atakujący za pomocą taktyk BEC mogą ukrywać swoje posunięcia, omijać flagi „niemożliwej podróży” i zapewniać sobie możliwości przeprowadzenia dalszych ataków. Firma Microsoft zaobserwowała, że tę taktykę najczęściej stosują źródła zagrożeń w Azji i w jednym z krajów Europy Wschodniej.

„Niemożliwa podróż” to mechanizm wykrywania stosowany w celu wskazania, że ​​konto użytkownika mogło zostać naruszone. Alerty te sygnalizują ograniczenia fizyczne, z których wynika, że zadanie jest wykonywane w dwóch lokalizacjach, między którymi jest zbyt duża odległość, aby można było ją pokonać między poszczególnymi czynnościami.

Specjalizacja i konsolidacja tego sektora gospodarki cyberprzestępstw może spowodować eskalację wykorzystywania adresów IP miejsc zamieszkania w celu uniknięcia wykrycia. Adresy IP miejsc zamieszkania mapowane na lokalizacje na dużą skalę zapewniają cyberprzestępcom mechanizm i możliwość gromadzenia dużych ilości naruszonych poświadczeń i kont dostępu. Źródła zagrożeń używają usług IP/proxy, których marketerzy i inne osoby mogą używać do prowadzenia badań, w celu skalowania tych ataków. Na przykład jeden z dostawców usług IP ma 100 milionów adresów IP, które mogą podlegać rotacji lub zmianie co sekundę.

Podczas gdy źródła zagrożeń wykorzystują wyłudzanie informacji jako usługę, jak na przykład Evil Proxy, Naked Pages i Caffeine, do wdrażania kampanii wyłudzania informacji i uzyskiwania naruszonych poświadczeń, platforma BulletProftLink oferuje projekt ze zdecentralizowaną bramą, która obejmuje węzły publicznego łańcucha bloków Internet Computer do hostowania witryn BEC i wyłudzania informacji, tworząc jeszcze bardziej wyrafinowane i zdecentralizowane rozwiązanie internetowe, którego zwalczanie jest znacznie trudniejsze. Rozmieszczanie infrastruktury tych witryn w złożonym i ewoluującym środowisku publicznych łańcuchów bloków sprawia, że identyfikowanie ich i dostosowywanie działań mających na celu ich usuniecie jest bardziej złożone. Mimo że można usunąć link prowadzący do treści wyłudzających informacje, sama treść pozostaje online, a cyberprzestępcy wracają, aby tworzyć nowe linki do istniejących treści CaaS.

Skuteczne ataki BEC kosztują organizacje setki milionów dolarów rocznie. W 2022 roku zespół FBI ds. odzyskiwania aktywów zainicjował proces eliminacji oszustw finansowych w związku z 2838 skargami dotyczącymi ataków BEC związanych z transakcjami krajowymi, które pociągały za sobą potencjalne straty przekraczające 590 mln USD.

Mimo że skutki finansowe są znaczące, szersze długoterminowe szkody mogą obejmować kradzież tożsamości w przypadku naruszenia danych osobowych albo utratę poufnych danych w przypadku ujawnienia poufnej korespondencji lub własności intelektualnej w ruchu złośliwych wiadomości e-mail i innych wiadomości.

Wiadomości wyłudzające informacje według typów

Wykres kołowy przedstawiający podział procentowy różnych typów wiadomości e-mail wyłudzających informacje wykorzystywanych w atakach mających na celu naruszenie biznesowej poczty e-mail (BEC). Najczęściej używanym typem wiadomości są te z przynętami (62,35%), następnie wiadomości związane z płacami (14,87%), wiadomości dotyczące faktur (8,29%), bonów upominkowych (4,87%) i informacji biznesowych (4,4%) oraz inne (5,22%).
Dane przedstawiają migawkę wyłudzania informacji w ramach ataków BEC według typów od stycznia 2023 r. do kwietnia 2023 r. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 4

Głównymi celami ataków BEC są przedstawiciele kadry kierowniczej i inni funkcjonariusze wyższego szczebla, kierownicy finansowi oraz pracownicy działów kadr mający dostęp do danych pracowników, takich jak numery ubezpieczenia społecznego, zeznania podatkowe lub inne dane osobowe. Celami ataków są także nowi pracownicy, którzy są zwykle mniej skłonni do weryfikowania nieznanych próśb kierowanych do nich pocztą e-mail. Wzrasta liczba niemal wszystkich form ataków BEC. Najważniejsze trendy w ukierunkowanych atakach BEC to wykorzystywanie wiadomości z przynętami oraz związanych z płacami, fakturami, bonami upominkowymi i informacjami biznesowymi.

Ataki BEC wyróżniają się w branży cyberprzestępstw naciskiem na inżynierię społeczną i technikę oszustw. Zamiast wykorzystywać luki w zabezpieczeniach niezaktualizowanych urządzeń, operatorzy ataków BEC starają się wykorzystać codzienny zalew ruchem wiadomości e-mail i innych wiadomości, aby nakłonić ofiary do przekazania informacji finansowych lub do podjęcia bezpośrednich działań, jak nieświadome wysyłanie środków na konta tak zwanych słupów, które ułatwiają przestępcom realizowanie nieuczciwych transferów pieniężnych.

W przeciwieństwie do „hałaśliwych” ataków z użyciem oprogramowania wymuszającego okup (ransomware), które obejmują zakłócające spokój wiadomości z próbami wyłudzenia, operatorzy ataków BEC prowadzą cichą grę polegającą na wykorzystaniu zaufania, używając wymyślonych terminów i wywołując wrażenie pilności, aby nakłonić do działań odbiorców, którzy często są rozkojarzeni lub nieprzyzwyczajeni do tego typu pilnych próśb. Zamiast wykorzystywać nowe złośliwe oprogramowanie, autorzy ataków BEC dostosowują taktyki, skupiając się na narzędziach poprawiających skalę, wiarygodność i współczynnik skuteczności złośliwych wiadomości w skrzynce odbiorczej.

Mimo że miało miejsce kilka głośnych ataków, w których wykorzystano adresy IP miejsc zamieszkania, firma Microsoft podziela obawy organów ścigania i innych organizacji na temat tego, że skala tego trendu może szybko wzrosnąć, co przy większej liczbie przypadków utrudni wykrywanie działań za pomocą tradycyjnych alarmów lub powiadomień.

Zróżnicowanie w lokalizacjach logowania nie ma samo w sobie złośliwego charakteru. Na przykład użytkownik może uzyskiwać dostęp do aplikacji biznesowych na laptopie za pośrednictwem lokalnej sieci Wi-Fi i jednocześnie być zalogowany do tych samych aplikacji służbowych na smartfonie za pośrednictwem sieci komórkowej. Z tego powodu organizacje mogą dostosowywać progi flag „niemożliwej podróży” na podstawie własnej tolerancji ryzyka. Jednak skala przemysłowa zlokalizowanych adresów IP używanych w atakach BEC stwarza nowe czynniki ryzyka dla przedsiębiorstw, ponieważ adaptacyjne taktyki BEC i inni atakujący coraz częściej kierują złośliwe wiadomości i inne działania przez przestrzeń adresową w pobliżu atakowanych celów.

Rekomendacje:

  • Zmaksymalizuj ustawienia zabezpieczeń chroniące skrzynkę odbiorczą: przedsiębiorstwa mogą skonfigurować w systemach poczty oflagowywanie wiadomości wysłanych z podmiotów zewnętrznych. Włącz powiadamianie w przypadkach, gdy nadawcy wiadomości nie są zweryfikowani. Blokuj nadawców, których tożsamości nie można potwierdzić niezależnie, i zgłaszaj wiadomości od nich jako próby wyłudzenia informacji lub spam (wiadomości-śmieci) w aplikacjach poczty e-mail.
  • Skonfiguruj silne uwierzytelnianie: utrudnij naruszenie poczty e-mail, włączając uwierzytelnianie wieloskładnikowe, w przypadku którego w celu zalogowania się oprócz hasła należy podać kod, PIN lub odcisk palca. Konta z włączonym uwierzytelnianiem wieloskładnikowym są odporniejsze na ryzyko związane z naruszonymi poświadczeniami i próby zalogowania się metodą siłową — niezależnie od używanej przez atakujących przestrzeni adresowej.
  • Zadbaj o przeszkolenie pracowników pod kątem rozpoznawania znaków ostrzegawczych: ucz pracowników, jak rozpoznawać fałszywe i inne złośliwe wiadomości e-mail, na przykład na podstawie niezgodności domeny i adresów e-mail, oraz edukuj ich na temat ryzyka i kosztów związanych ze skutecznymi atakami BEC.

Walka z naruszeniami biznesowej poczty e-mail wymaga czujności i świadomości

Mimo że źródła zagrożeń stworzyły wyspecjalizowane narzędzia ułatwiające prowadzenie ataków BEC, w tym zestawy do wyłudzania informacji i listy zweryfikowanych adresów e-mail do celowania w dyrektorów najwyższego szczebla, kierowników odpowiedzialnych za rozrachunki z dostawcami i osoby pełniące inne określone role, przedsiębiorstwa mogą wdrażać metody zapobiegające atakom i ograniczające związane z nimi ryzyko.

Na przykład zasady „odrzucania” polegające na uwierzytelnianiu, raportowaniu i zgodności wiadomości opartych na domenie (DMARC) udostępniają najsilniejszą ochronę przed sfałszowanymi wiadomościami e-mail, zapewniając odrzucenie nieuwierzytelnionych wiadomości na serwerze poczty jeszcze przed dostarczeniem. Ponadto raporty DMARC zapewniają organizacji mechanizm uzyskiwania informacji o źródle prawdopodobnego fałszerstwa, czyli dane, których normalnie by nie uzyskała.

Mimo że organizacje już od kilku lat zajmują się zarządzaniem pracownikami w pełni zdalnymi lub hybrydowymi, nadal występuje potrzeba ponownego przemyślenia kwestii świadomości bezpieczeństwa w erze pracy hybrydowej. Pracownicy współpracują obecnie z większą liczbą dostawców i podwykonawców, wskutek czego otrzymują więcej wiadomości e-mail w rodzaju takich, które oglądają po raz pierwszy. W związku z tym niezwykle ważna jest świadomość skutków tych zmian w rytmie pracy i korespondencji dla obszaru organizacji podatnego na ataki.

Próby ataków BEC podejmowane przez źródła zagrożeń mogą przybierać różne formy — na przykład rozmów telefonicznych, wiadomości SMS, wiadomości e-mail lub wiadomości w mediach społecznościowych. Typowymi taktykami są też fałszowanie (spoofing) wiadomości z żądaniami uwierzytelnienia oraz podszywanie się pod osoby i firmy.

Dobrym pierwszym krokiem obronnym jest wzmocnienie zasad dla działów księgowości, kontroli wewnętrznej, płac lub kadr w zakresie reagowania na żądania lub powiadomienia dotyczące zmian w instrumentach płatniczych, danych bankowych lub przelewach bankowych. Wstrzymanie się i odłożenie realizacji żądań, które są w podejrzany sposób niezgodne z zasadami, lub skontaktowanie się z podmiotem, od którego pochodzi żądanie, za pośrednictwem jego wiarygodnej witryny internetowej i przedstawicieli może uchronić organizację przed ogromnymi stratami.

Ataki BEC stanowią doskonały przykład tego, dlaczego problemy cyberryzyka należy rozwiązywać w sposób interdyscyplinarny, uwzględniając we współpracy nie tylko specjalistów ds. informatyki, zapewniania zgodności i cyberryzyka, ale też kadrę kierowniczą i liderów, pracowników zajmujących się finansami, kierowników ds. kadr oraz inne osoby mające dostęp do danych pracowników, takich jak numery ubezpieczenia społecznego, zeznania podatkowe, dane kontaktowe i harmonogramy.

Rekomendacje:

  • Korzystaj z bezpiecznego rozwiązania poczty e-mail: współczesne chmurowe platformy poczty e-mail korzystają z możliwości sztucznej inteligencji, takich jak uczenie maszynowe, na potrzeby wzmacniania mechanizmów obronnych, dodawania zaawansowanej ochrony przed wyłudzaniem informacji i wykrywania podejrzanych przypadków przekazywania wiadomości. Chmurowe aplikacje do obsługi poczty e-mail i zwiększające produktywność oferują też takie korzyści, jak ciągłe i automatyczne aktualizacje oprogramowania oraz scentralizowane zarządzanie zasadami zabezpieczeń.
  • Zabezpieczaj tożsamości, aby zapobiegać taktykom tzw. ruchu bocznego: ochrona tożsamości to kluczowy filar zwalczania ataków BEC. Kontroluj dostęp do aplikacji i danych za pomocą modelu Zero Trust i zautomatyzowanego nadzoru nad tożsamościami.
  • Wdróż bezpieczną platformę płatności: rozważ przejście z faktur wysyłanych pocztą e-mail na system zaprojektowany specjalnie do uwierzytelniania płatności.
  • Wstrzymaj się i zweryfikuj transakcje finansowe za pomocą rozmowy telefonicznej: warto poświęcić chwilę na szybką rozmowę telefoniczną w celu potwierdzenia, że coś jest wiarygodne, zamiast szybko odpowiadać lub klikać, opierając się jedynie na domniemaniu wiarygodności, co może doprowadzić do kradzieży. Ustal zasady i oczekiwania przypominające pracownikom o tym, że ważne jest, aby kontaktować się z organizacjami lub osobami bezpośrednio — bez wykorzystywania informacji podanych w podejrzanych wiadomościach — w celu weryfikowania żądań finansowych i innych.

Dowiedz się więcej na temat ataków BEC i irańskich źródłach zagrożeń, zapoznając się ze szczegółowymi informacjami przygotowanymi przez Simeona Kakpovi, starszego analityka ds. analizy zagrożeń.

Dane z migawki odzwierciedlają średnie roczne i dzienne próby ataków BEC wykryte i zbadane przez Centrum analiz zagrożeń firmy Microsoft w okresie od kwietnia 2022 r. do kwietnia 2023 r. Usunięcia unikatowych adresów URL służących do wyłudzania informacji w ramach działań podjętych przez jednostkę firmy Microsoft ds. przestępstw cyfrowych (DCU) miały miejsce w okresie od maja 2022 r. do kwietnia 20231 r.1.

  • 35 mln rocznie
  • 156 000 dziennie
  • 417 678 usunięć adresów URL służących do wyłudzania informacji
  1. [1]

    Metodologia: W przypadku danych migawki platformy Microsoft, w tym usługa Microsoft Defender dla pakietu Office, Analiza zagrożeń Microsoft i jednostka firmy Microsoft ds. przestępstw cyfrowych (DCU), udostępniły zanonimizowane dane dotyczące luk w zabezpieczeniach urządzeń oraz dane dotyczące trendów i aktywności źródeł zagrożeń. Ponadto badacze wykorzystali dane ze źródeł publicznych, na przykład raport Federalnego Biura Śledczego (FBI) z 2022 r. dotyczący przestępczości internetowej oraz dane Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA). Wyeksponowana statystyka jest oparta na pracy jednostki firmy Microsoft ds. przestępstw cyfrowych (DCU) dotyczącej cyberprzestępstw jako usług (CaaS) w zakresie poczty biznesowej w latach 2019–2022. Dane z migawki odzwierciedlają wykryte i zbadane skorygowane roczne i średnie dzienne próby ataków BEC.

Naruszenie biznesowej poczty e-mail Cyber Signals Zabezpieczenia tożsamości Wyłudzanie informacji

Powiązane artykuły

Szczegółowe informacje od Simeona Kakpovi, eksperta w zakresie irańskich źródeł zagrożeń

Starszy analityk ds. analizy zagrożeń, Simeon Kakpovi, opowiada o szkoleniu następnego pokolenia cyberobrońców i przezwyciężaniu wyjątkowej nieustępliwości irańskich źródeł zagrożeń.
Dowiedz się więcej

Unikatowe zagrożenie związane z urządzeniami IoT/OT

W najnowszym raporcie badamy, jak rosnąca łączność Internetu rzeczy (IoT) z technologią operacyjną (OT) prowadzi do powstawania większych i poważniejszych luk w zabezpieczeniach, które mogą być wykorzystywane przez zorganizowane podmioty będące źródłem cyberzagrożenia.
Dowiedz się więcej

Anatomia współczesnego obszaru podatnego na ataki

Aby zarządzać coraz bardziej złożonym obszarem podatnym na ataki, organizacje muszą opracować kompleksowy stan zabezpieczeń. W tym raporcie opartym na sześciu kluczowych obszarach podatnych na ataki przedstawiono, jak odpowiednia analiza zagrożeń może pomóc przechylić szalę zwycięstwa na stronę obrońców.
Dowiedz się więcej

Obserwuj rozwiązania zabezpieczające firmy Microsoft