Zmena taktiky spôsobuje nárast ohrozenia firemných e-mailov

Aktivita kybernetických zločincov spočívajúca v ohrození zabezpečenia firemného e-mailu sa zintenzívňuje. Spoločnosť Microsoft zaznamenala, že útočníci čoraz častejšie využívajú platformy ako BulletProftLink, populárnu platformu na vytváranie rozsiahlych kampaní škodlivej pošty. BulletProftLink predáva komplexnú službu vrátane šablón, hostingu a automatických služieb pre BEC. Protivníci využívajúci túto službu CaaS získajú prihlasovacie údaje a adresu IP obete.

Aktéri hrozieb využívajúci službu BEC si potom kúpia adresy IP zo služieb IP pre domácnosti, ktoré zodpovedajú miestu pobytu obete, a vytvoria proxy servery IP, ktoré kybernetickým zločincom umožňujú zamaskovať svoj pôvod. Vyzbrojení lokalizovaným priestorom adries na podporu svojich škodlivých činností, ako aj menami používateľov a heslami, môžu potom útočníci BEC zaznamenávať pohyby, obchádzať príznaky „neuskutočniteľnej cesty“ a otvoriť bránu na uskutočňovanie ďalších útokov. Spoločnosť Microsoft zaznamenala, že najčastejšie túto taktiku využívajú aktéri hrozieb v Ázii a vo východnej Európe.

Neuskutočniteľná cesta je detekcia používaná na zistenie toho, či môže byť zneužité konto používateľa. Tieto upozornenia označujú fyzické obmedzenia, ktoré naznačujú, že úloha sa vykonáva na dvoch miestach zároveň bez toho, aby bolo časovo možné precestovať z jedného miesta na druhé.

Špecializácia a konsolidácia tohto sektoraekonomiky počítačového zločinu môže vyústiť do využívania adries IP domácností na obídenie detekcie. Veľký počet adries IP domácností primapovaných k miestam poskytujú kybernetickým zločincom možnosť a príležitosť získať veľké objemy zneužitých prihlasovacích údajov a prístup do kont. Aktéri hrozieb využívajú na škálovanie týchto útokov služby adries IP/serverov proxy, ktoré môžu obchodníci a iné osoby používať na výskum. Jeden poskytovateľ služieb IP má napríklad 100 miliónov adries IP, ktoré sa môžu každú sekundu rotovať alebo meniť.

Zatiaľ čo aktéri hrozieb používajú na nasadzovanie phishingových kampaní a získanie zneužitých prihlasovacích údajov phishing ako službu typu Evil Proxy, Naked Pages a Caffeine, platforma BulletProftLink ponúka koncepciu decentralizovanej brány, ktorá obsahuje verejné blockchainové uzly počítača pripojeného na internet na hosťovanie phishingu a lokality BEC, čím sa vytvára ešte sofistikovanejšia decentralizovaná webová ponuka, ktorú je ťažké narušiť. Distribúcia infraštruktúry týchto lokalít v celej ich zložitosti a stále sa rozvíjajúce verejné blockchainy sťažujú ich zisťovanie a zosúlaďovanie opatrení na ich odstránenie. Aj keď odstránite phishingový odkaz, obsah zostane online a kybernetickí zločinci sa vrátia a vytvoria nový odkaz na existujúci obsah CaaS.

Úspešné útoky BEC stoja organizácie každoročne stovky miliónov dolárov. V roku 2022 tím FBI pre obnovu prostriedkov použil nástroj Financial Fraud Kill Chain v prípade 2 838 sťažností týkajúcich sa domácich transakcií s potenciálnymi stratami viac ako 590 miliónov USD.

Hoci to malo závažné finančné dôsledky, rozsiahlejšie dlhodobé škody môžu zahŕňať krádež identity, ak by došlo k zneužitiu údajov umožňujúcich identifikáciu koncového používateľa, alebo únik dôverných údajov, ak by bola škodlivému e-mailu a výmene správ vystavená citlivá korešpondencia alebo duševné vlastníctvo.

Hoci aktéri hrozieb vytvárajú špecializované nástroje na uľahčenie útokov BEC vrátane phishingových súprav a zoznamov overených e-mailových adries zacielených na výkonných manažérov, ekonómov a ďalšie špecifické roly, podniky môžu využiť metódy na predchádzanie útokom a zmiernenie rizika.

Napríklad politika „odmietnutia“ v rámci overovania, vykazovania a zabezpečenia súladu správ podľa domény (DMARC) poskytuje najsilnejšiu ochranu pred falošnými e-mailmi, ktorou sa zabezpečuje odmietnutie neoverených správ na poštovom serveri ešte pred ich doručením. Okrem toho sa v správach DMARC poskytuje organizácii mechanizmus, vďaka ktorému bude informovaná o zdroji zjavného falzifikátu, čo je informácia, ktorú by za normálnych okolností nezískala.

Hoci organizácie už niekoľko rokov riadia pracovnú silu pracujúcu v plnej miere na diaľku alebo hybridnú pracovnú silu, prehodnotenie informovanosti o bezpečnosti v ére hybridnej práce je naďalej potrebné. Keďže zamestnanci pracujú s viacerými dodávateľmi, a preto dostávajú viac „prvotných“ e-mailov, je mimoriadne dôležité, aby si uvedomovali, čo tieto zmeny v pracovnom rytme a korešpondencii znamenajú pre možné miesta útokov.

Pokusy aktérov hrozieb o útoky BEC môžu mať veľa podôb, napríklad telefónne hovory, správy SMS, e-maily alebo správy na sociálnych médiách. Bežnou taktikou sú aj správy so žiadosťou o overenie, v ktorých sa predstiera iný odosielateľ, a vydávanie sa za inú osobu a spoločnosť.

Dobrým prvým obranným krokom je posilnenie politík pre oddelenia účtovníctva, interných kontrol, miezd alebo ľudských zdrojov, ktoré sa týkajú reakcie na žiadosti alebo oznámenia zmien platobných nástrojov, bankových alebo bezhotovostných prevodov. Preskúmanie vedľajších žiadostí, ktoré podozrivo nevyhovujú politikám alebo kontaktovanie žiadajúceho subjektu prostredníctvom jeho legitímnej lokality a jeho zástupcov môže organizáciám ušetriť obrovské straty.

Útoky BEC sú skvelým príkladom toho, prečo je potrebné kybernetické riziko riešiť na úrovni všetkých funkcií, za jedným stolom s výkonných pracovníkmi a lídrami, finančnými manažérmi, manažérmi ľudských zdrojov a inými zamestnancami s prístupom k záznamom o zamestnancoch, akými sú čísla sociálneho poistenia, daňové priznania, kontaktné informácie a rozvrhy, ako aj pracovníkmi IT, pracovníkmi zodpovednými za súlad a pracovníkmi z oblasti kybernetického rizika.

Získajte ďalšie informácie o útokoch BEC a iránskych aktéroch hrozieb s prehľadmi Simeona Kakpovia, hlavného analytika hrozieb.