Trace Id is missing
Prejsť na hlavný obsah
Security Insider

Zmena taktiky spôsobuje nárast ohrozenia firemných e-mailov

Stiahnuť
Zdieľať

Cyber Signals, 4. vydanie: Hra na dôveru

Podvody zamerané na firemné e-maily sú na vzostupe, o čom svedčí aj to, že Federálny úrad pre vyšetrovanie (FBI) oznámil viac ako 21 000 sťažností týkajúcich sa strát v upravenej výške viac ako 2,7 miliardy USD. Spoločnosť Microsoft zaznamenala vyššiu sofistikovanosť a lepšiu taktiku aktérov hrozieb špecializujúcich sa na ohrozenie zabezpečenia firemného e-mailu (BEC), ako aj využívanie adries IP domácností, aby sa vytváralo zdanie, že kampane útokov sa uskutočňujú na miestnej úrovni.

Táto nová taktika umožňuje zločincom ešte lepšie speňažovať počítačový zločin ako službu (CaaS) a vyvolala pozornosť federálnych orgánov presadzovania práva, pretože kybernetickým zločincom umožňuje obísť upozornenia na „neuskutočniteľnú cestu“ používané na zisťovanie a blokovanie nezvyčajných pokusov o prihlásenie a ďalších podozrivých aktivít na konte.

Všetci sme ochrancovia kybernetickej bezpečnosti.
Jednotka spoločnosti Microsoft na boj proti digitálnym zločinom v rokoch 2019 až 2022 zaznamenala 38-percentný nárast počítačového zločinu ako služby (CaaS) zameriavajúceho sa na firemný e-mail.

Poznatky o náraste prípadov rozsiahleho využívania služby BEC na platforme BulletProftLink

Aktivita kybernetických zločincov spočívajúca v ohrození zabezpečenia firemného e-mailu sa zintenzívňuje. Spoločnosť Microsoft zaznamenala, že útočníci čoraz častejšie využívajú platformy ako BulletProftLink, populárnu platformu na vytváranie rozsiahlych kampaní škodlivej pošty. BulletProftLink predáva komplexnú službu vrátane šablón, hostingu a automatických služieb pre BEC. Protivníci využívajúci túto službu CaaS získajú prihlasovacie údaje a adresu IP obete.

Aktéri hrozieb využívajúci službu BEC si potom kúpia adresy IP zo služieb IP pre domácnosti, ktoré zodpovedajú miestu pobytu obete, a vytvoria proxy servery IP, ktoré kybernetickým zločincom umožňujú zamaskovať svoj pôvod. Vyzbrojení lokalizovaným priestorom adries na podporu svojich škodlivých činností, ako aj menami používateľov a heslami, môžu potom útočníci BEC zaznamenávať pohyby, obchádzať príznaky „neuskutočniteľnej cesty“ a otvoriť bránu na uskutočňovanie ďalších útokov. Spoločnosť Microsoft zaznamenala, že najčastejšie túto taktiku využívajú aktéri hrozieb v Ázii a vo východnej Európe.

Neuskutočniteľná cesta je detekcia používaná na zistenie toho, či môže byť zneužité konto používateľa. Tieto upozornenia označujú fyzické obmedzenia, ktoré naznačujú, že úloha sa vykonáva na dvoch miestach zároveň bez toho, aby bolo časovo možné precestovať z jedného miesta na druhé.

Špecializácia a konsolidácia tohto sektoraekonomiky počítačového zločinu môže vyústiť do využívania adries IP domácností na obídenie detekcie. Veľký počet adries IP domácností primapovaných k miestam poskytujú kybernetickým zločincom možnosť a príležitosť získať veľké objemy zneužitých prihlasovacích údajov a prístup do kont. Aktéri hrozieb využívajú na škálovanie týchto útokov služby adries IP/serverov proxy, ktoré môžu obchodníci a iné osoby používať na výskum. Jeden poskytovateľ služieb IP má napríklad 100 miliónov adries IP, ktoré sa môžu každú sekundu rotovať alebo meniť.

Zatiaľ čo aktéri hrozieb používajú na nasadzovanie phishingových kampaní a získanie zneužitých prihlasovacích údajov phishing ako službu typu Evil Proxy, Naked Pages a Caffeine, platforma BulletProftLink ponúka koncepciu decentralizovanej brány, ktorá obsahuje verejné blockchainové uzly počítača pripojeného na internet na hosťovanie phishingu a lokality BEC, čím sa vytvára ešte sofistikovanejšia decentralizovaná webová ponuka, ktorú je ťažké narušiť. Distribúcia infraštruktúry týchto lokalít v celej ich zložitosti a stále sa rozvíjajúce verejné blockchainy sťažujú ich zisťovanie a zosúlaďovanie opatrení na ich odstránenie. Aj keď odstránite phishingový odkaz, obsah zostane online a kybernetickí zločinci sa vrátia a vytvoria nový odkaz na existujúci obsah CaaS.

Úspešné útoky BEC stoja organizácie každoročne stovky miliónov dolárov. V roku 2022 tím FBI pre obnovu prostriedkov použil nástroj Financial Fraud Kill Chain v prípade 2 838 sťažností týkajúcich sa domácich transakcií s potenciálnymi stratami viac ako 590 miliónov USD.

Hoci to malo závažné finančné dôsledky, rozsiahlejšie dlhodobé škody môžu zahŕňať krádež identity, ak by došlo k zneužitiu údajov umožňujúcich identifikáciu koncového používateľa, alebo únik dôverných údajov, ak by bola škodlivému e-mailu a výmene správ vystavená citlivá korešpondencia alebo duševné vlastníctvo.

Druhy phishingových e-mailov

Koláčový graf zobrazujúci percentuálne rozdelenie jednotlivých druhov phishingových e-mailov používaných pri útokoch ohrozujúcich zabezpečenie firemného e-mailu. Najbežnejším druhom je vylákanie (62,35 %), za ním nasledujú výplatná listina (14,87 %), faktúra (8,29 %), darčekový poukaz (4,87 %), podnikové informácie (4,4 %) a ostatné (5,22 %).
Údaje predstavujú snímku druhov phishingu BEC od januára 2023 do apríla 2023. Ďalšie informácie o tomto obrázku nájdete na strane 4 celého znenia správy

Najčastejším cieľom útokov BEC sú výkonní pracovníci a iní vrcholoví vedúci pracovníci, finanční manažéri, pracovníci oddelenia ľudských zdrojov, ktorí majú prístup k záznamom o zamestnancoch, napríklad k ich číslam sociálneho poistenia, daňovým priznaniam alebo iným údajom umožňujúcim identifikáciu koncového používateľa. Útoky sa zameriavajú aj na nových zamestnancov, v prípade ktorých je menej pravdepodobné, že budú overovať neznáme e-mailové žiadosti. Stúpa počet takmer všetkých foriem útokov BEC. Najobľúbenejšími trendmi zacielených útokov BEC sú vylákanie, výplatná listina, faktúra, darčekový poukaz a podnikové informácie.

Útoky BEC sú v odvetví počítačového zločinu výnimočné tým, že kladú dôraz na sociálne inžinierstvo a umenie podvodu. Namiesto využitia zraniteľných miest v neopravených zariadeniach sa vykonávatelia útokov BEC snažia využiť každodenný príval e-mailov a iných správ na vylákanie finančných informácií od obetí, prípadne na uskutočnenie priamej akcie, ako napríklad nevedomé zaslanie finančných prostriedkov na prevodné účty, pomocou ktorých zločinci uskutočňujú podvodné prevody peňazí.

Na rozdiel od „hlučného“ útoku ransomwaru, ktorý spočíva v zasielaní rušivých vydieračských správ, hrajú vykonávatelia útokov BEC tichú hru na dôveru pomocou vymyslených termínov a naliehavosti, ktorými sa snažia donútiť príjemcov, ktorí môžu byť rozrušení alebo zvyknutí na takéto typy naliehavých žiadostí. Namiesto nového škodlivého softvéru protivníci BEC zosúlaďujú svoju taktiku, aby sa mohli zamerať na nástroje zlepšujúce škálu, uskutočniteľnosť a mieru úspešnosti doručovania škodlivých správ.

Napriek tomu, že došlo k niekoľkým ostro sledovaným útokom, pri ktorých sa využili adresy IP domácností, sa spoločnosť Microsoft rovnako ako orgány presadzovania práva a ďalšie organizácie obáva, že tento trend rýchlo nadobudne väčšie rozmery a zisťovanie takejto aktivity pomocou tradičných upozornení alebo oznámení bude náročné oveľa častejšie.

Rozdielne miesta prihlásenia nie sú samé osebe škodlivé. Používateľ môže mať napríklad otvorené podnikové aplikácie v prenosnom počítači prostredníctvom lokálnej Wi-Fi a zároveň môže byť do tých istých pracovných aplikácií prihlásený na svojom smartfóne prostredníctvom mobilnej siete. Z tohto dôvodu môžu organizácie prispôsobiť prahy príznaku neuskutočniteľných ciest na základe svojej tolerancie rizika. Rozsiahle využívanie lokalizovaných adries IP na útoky BEC však znamená pre podniky nové riziká, keďže adaptívni vykonávatelia útokov BEC a iní útočníci čoraz častejšie využívajú možnosť smerovania škodlivej pošty a inej aktivity prostredníctvom priestoru adries v blízkosti svojich cieľov.

Odporúčania:

  • Maximalizujte bezpečnostné nastavenia na ochranu doručenej pošty: podniky si môžu poštové systémy nakonfigurovať tak, aby sa správy zasielané externými stranami označovali príznakom. Zapnite upozornenia na neoverených odosielateľov e-mailov. Zablokujte odosielateľov s identitami, ktoré nemôžete nezávisle potvrdiť, a nahláste ich e-maily v e-mailových aplikáciách ako phishingové alebo nevyžiadané.
  • Nastavte si silné overovanie: zvýšte úroveň odolnosti vášho e-mailu pred ohrozením zabezpečenia zapnutím viacfaktorového overovania, ktoré na prihlásenie vyžaduje zadanie kódu, PIN kódu alebo odtlačku prsta, ako aj heslo. Kontá so zapnutým viacfaktorovým overovaním sú odolnejšie voči riziku zneužitia prihlasovacích údajov a pokusom o prihlásenie hrubou silou bez ohľadu na priestor adries, ktorý útočníci použijú.
  • Vyškoľte zamestnancov, aby si všímali varovné signály: vzdelávajte zamestnancov tak, aby dokázali rozpoznať podvodné a iné škodlivé e-maily, napríklad nezhodu v adresách domén a e-mailových adresách, a uvedomovali si riziká a náklady spojené s úspešnými útokmi BEC.

Boj proti ohrozeniu zabezpečenia firemného e-mailu si vyžaduje ostražitosť a informovanosť

Hoci aktéri hrozieb vytvárajú špecializované nástroje na uľahčenie útokov BEC vrátane phishingových súprav a zoznamov overených e-mailových adries zacielených na výkonných manažérov, ekonómov a ďalšie špecifické roly, podniky môžu využiť metódy na predchádzanie útokom a zmiernenie rizika.

Napríklad politika „odmietnutia“ v rámci overovania, vykazovania a zabezpečenia súladu správ podľa domény (DMARC) poskytuje najsilnejšiu ochranu pred falošnými e-mailmi, ktorou sa zabezpečuje odmietnutie neoverených správ na poštovom serveri ešte pred ich doručením. Okrem toho sa v správach DMARC poskytuje organizácii mechanizmus, vďaka ktorému bude informovaná o zdroji zjavného falzifikátu, čo je informácia, ktorú by za normálnych okolností nezískala.

Hoci organizácie už niekoľko rokov riadia pracovnú silu pracujúcu v plnej miere na diaľku alebo hybridnú pracovnú silu, prehodnotenie informovanosti o bezpečnosti v ére hybridnej práce je naďalej potrebné. Keďže zamestnanci pracujú s viacerými dodávateľmi, a preto dostávajú viac „prvotných“ e-mailov, je mimoriadne dôležité, aby si uvedomovali, čo tieto zmeny v pracovnom rytme a korešpondencii znamenajú pre možné miesta útokov.

Pokusy aktérov hrozieb o útoky BEC môžu mať veľa podôb, napríklad telefónne hovory, správy SMS, e-maily alebo správy na sociálnych médiách. Bežnou taktikou sú aj správy so žiadosťou o overenie, v ktorých sa predstiera iný odosielateľ, a vydávanie sa za inú osobu a spoločnosť.

Dobrým prvým obranným krokom je posilnenie politík pre oddelenia účtovníctva, interných kontrol, miezd alebo ľudských zdrojov, ktoré sa týkajú reakcie na žiadosti alebo oznámenia zmien platobných nástrojov, bankových alebo bezhotovostných prevodov. Preskúmanie vedľajších žiadostí, ktoré podozrivo nevyhovujú politikám alebo kontaktovanie žiadajúceho subjektu prostredníctvom jeho legitímnej lokality a jeho zástupcov môže organizáciám ušetriť obrovské straty.

Útoky BEC sú skvelým príkladom toho, prečo je potrebné kybernetické riziko riešiť na úrovni všetkých funkcií, za jedným stolom s výkonných pracovníkmi a lídrami, finančnými manažérmi, manažérmi ľudských zdrojov a inými zamestnancami s prístupom k záznamom o zamestnancoch, akými sú čísla sociálneho poistenia, daňové priznania, kontaktné informácie a rozvrhy, ako aj pracovníkmi IT, pracovníkmi zodpovednými za súlad a pracovníkmi z oblasti kybernetického rizika.

Odporúčania:

  • Používajte zabezpečené e-mailové riešenie: dnešné e-mailové cloudové platformy používajú funkcie umelej inteligencie, ako napríklad strojové učenie, na posilnenie obrany, čím sa rozširuje ochrana pred phishingom a detekcia podozrivého preposielania správ. Cloudové aplikácie pre e-maily a produktivitu takisto ponúkajú výhody nepretržitých automatických softvérových aktualizácií a centralizovanej správy bezpečnostných politík.
  • Zabezpečte identity, aby bol zakázaný laterálny pohyb: ochrana identít je kľúčovým pilierom na boj proti útokom BEC. Riaďte prístup k aplikáciám a údajom pomocou nulovej dôvery a automatického riadenia identity.
  • Zaveďte zabezpečenú platobnú platformu: zvážte prechod z faktúr odoslaných e-mailom na systém navrhnutý špeciálne na overovanie platieb.
  • Zastavte sa a telefonátom si overte finančné transakcie: rýchly telefonát na potvrdenie legitímnosti niečoho je na rozdiel od rýchlej reakcie alebo kliknutia, ktoré by mohlo viesť ku krádeži, dobre vynaložený čas. Zaveďte politiky a očakávania, ktoré budú zamestnancom pripomínať, že je dôležité priamo kontaktovať organizácie alebo jednotlivcov a nepoužívať informácie uvedené v podozrivých správach, a tak preverovať finančné a iné žiadosti.

Získajte ďalšie informácie o útokoch BEC a iránskych aktéroch hrozieb s prehľadmi Simeona Kakpovia, hlavného analytika hrozieb.

Snímka údajov predstavuje priemerný počet zistených pokusov o útoky BEC za rok a za deň prešetrených platformou Microsoft Analýza hrozieb od apríla 2022 do apríla 2023. Zrušenia jedinečných phishingových adries URL vykonané Jednotkou spoločnosti Microsoft na boj proti digitálnym zločinom sa týkajú obdobia od mája 2022 do apríla 20231.

  • 35 miliónov ročne
  • 156 000 denne
  • 417 678 zrušení phishingových adries URL
  1. [1]

    Metodika: Pre snímku údajov poskytli anonymizované údaje o zraniteľných miestach zariadení a aktivite a trendoch aktérov hrozieb platformy spoločnosti Microsoft ako Microsoft Defender pre Office, Microsoft Analýza hrozieb a Jednotka spoločnosti Microsoft na boj proti digitálnym zločinom (DCU). Okrem toho výskumníci používajú údaje z verejných zdrojov, akými sú správa Federálneho úradu pre vyšetrovanie (FBI) o internetových zločinoch 2022 a Agentúra pre & kybernetickú a infraštruktúrnu bezpečnosť (CISA). Štatistiky pokrytia vychádzajú zo záväzkov Jednotky spoločnosti Microsoft na boj proti digitálnym zločinom (DCU) v rokoch 2019 až 2022 v oblasti boja proti počítačovému zločinu ako službe v prípade firemného e-mailu. Údaje zo snímky predstavujú upravený počet zistených ročných a priemerných denných pokusov o útoky BEC, ktoré boli vyšetrené.

Ohrozenie zabezpečenia firemného e-mailu Cyber Signals Zabezpečenie identity Phishingový útok

Súvisiace články

Prehľady experta na iránskych aktérov hrozieb Simeona Kakpovia

Hlavný analytik hrozieb Simeon Kakpovi hovorí o školení ďalšej generácie kybernetických obrancov a prekonávaní obrovskej odhodlanosti iránskych aktérov hrozieb.
Ďalšie informácie

Jedinečné bezpečnostné riziko zariadení IoT/OT

V najnovšej správe skúmame, ako rastúca pripojiteľnosť IoT/OT vedie k väčším a závažnejším rizikám, ktoré môžu byť využité organizovanými aktérmi kybernetických hrozieb.
Ďalšie informácie

Anatómia moderných možných miest útokov

Organizácie musia vyvinúť komplexnú úroveň zabezpečenia, ak chcú spravovať čoraz zložitejšie možné miesta útokov. V tejto správe uvidíte na šiestich kľúčových oblastiach možných miest útokov, ako môže správna analýza hrozieb pomôcť nakloniť misky váh na stranu obrancov.
Ďalšie informácie

Sledujte Microsoft