Trace Id is missing

Spreminjajoči se pristopi na področju ogroženosti poslovne e-pošte

Prenos
Skupna raba

Cyber Signals – 4. izdaja: Igra zaupanja

Število goljufij s poslovno elektronsko pošto še naprej narašča, saj Zvezni preiskovalni urad (FBI) poroča o več kot 21.000 pritožbah s prilagojenimi izgubami v višini več kot 2,7 milijarde ameriških dolarjev. Microsoft opaža vse bolj izpopolnjene taktike napadalcev, specializiranih za ogrožanje poslovne e-pošte (BEC), vključno z izkoriščanjem naslovov internetnega protokola (IP) v stanovanjih, da je videti, kot da so napadi ustvarjeni lokalno.

Ker lahko kriminalci še bolj zaslužijo s pristopom do kibernetskih zločinov kot storitve (Cybercrime-as-a-Service (CaaS)), je to pritegnilo pozornost zveznih organov pregona, saj omogoča kibernetskim kriminalcem, da se izognejo opozorilom »nemogočega potovanja«, ki se uporabljajo za prepoznavanje in blokiranje neobičajnih poskusov prijave in drugih sumljivih dejavnosti na računu.

Vsi smo branilci kibernetske varnosti.
Microsoftova enota za digitalne zločine je med letoma 2019 in 2022 opazila  38-odstotno povečanje  kibernetskih zločinov kot storitev, usmerjenih v poslovno e-pošto.

Vzpon storitve BEC združenja BulletProftLink

Število napadov kibernetskih kriminalcev, povezanih z ogrožanjem poslovne e-pošte, narašča. Microsoft opaža pomemben trend pri uporabi platform, kot je BulletProftLink, priljubljena platforma za ustvarjanje napadov na pošto v industriji. BulletProftLink prodaja celovito storitev, vključno s predlogami, gostovanjem in avtomatiziranimi storitvami za BEC. Napadalci, ki uporabljajo sistem CaaS, prejmejo poverilnice in naslov IP žrtve.

Napadalci BEC nato kupijo naslove IP pri storitvah IP, ki ustrezajo lokaciji žrtve, in ustvarijo posrednike IP, ki kibernetskim kriminalcem omogočajo, da prikrijejo svoj izvor. Zdaj imajo napadalci BEC poleg uporabniških imen in gesel za svoje zlonamerne dejavnosti na voljo tudi lokalni naslov, zato lahko prikrijejo gibanje, zaobidejo oznake »nemogoče potovanje« in odprejo vrata za nadaljnje napade. Microsoft je opazil, da to taktiko najpogosteje uporabljajo napadalci v Aziji in eni od vzhodnoevropskih držav.

»Nemogoče potovanje« je zaznan pojav, ki nakazuje, da je uporabniški račun morda ogrožen. Ta opozorila označujejo fizične omejitve, ki nakazujejo, da se opravilo izvaja na dveh lokacijah, pri tem pa ni dovolj časa za potovanje z ene lokacije na drugo.

Specializacija in konsolidacija tega sektorja kibernetskega gospodarstva bi lahko povečala uporabo rezidenčnih naslovov IP za izogibanje odkrivanju. Naslovi IP za rezidenčne lokacije, ki so kartirani na lokacije v velikem obsegu, zagotavljajo kibernetskim kriminalcem možnost in priložnost za zbiranje velikih količin ogroženih poverilnic in računov za dostop. Napadalci uporabljajo storitve IP/proxy, ki jih tržniki in drugi lahko uporabljajo za raziskave, da z njimi razširijo te napade. En ponudnik storitev IP ima na primer 100 milijonov naslovov IP, ki jih je mogoče rotirati ali spremeniti vsako sekundo.

Medtem ko napadalci za izvajanje napadov z lažnim predstavljanjem in pridobivanje ogroženih poverilnic uporabljajo storitve, kot so Evil Proxy, Naked Pages in Caffeine, BulletProftLink ponuja decentraliziran prehod, ki vključuje spletna računalniška javna vozlišča z verigo blokov za gostovanje strani z lažnim predstavljanjem in BEC, kar ustvarja še bolj izpopolnjeno decentralizirano spletno ponudbo, ki jo je veliko težje prekiniti. Zaradi porazdelitve infrastrukture teh spletnih mest po kompleksnih in razvijajočih se javnih verigah blokov je njihovo prepoznavanje in usklajevanje sprejetih ukrepov še bolj zapleteno. Čeprav lahko odstranite lažno povezavo, vsebina ostane v spletu in kibernetski kriminalci ponovno ustvarijo novo povezavo do obstoječe vsebine CaaS.

Uspešni napadi BEC organizacije letno stanejo več sto milijonov dolarjev. Leta 2022 je FBI-jeva skupina za izterjavo premoženjske koristi sprožila postopek »Financial Fraud Kill Chain« v zvezi z 2838 pritožbami BEC, ki so vključevale domače transakcije s potencialnimi izgubami v višini več kot 590 milijonov ameriških dolarjev.

Čeprav so finančne posledice znatne, lahko širša dolgoročna škoda vključuje krajo identitete, če so ogroženi osebni podatki, ali izgubo zaupnih podatkov, če so občutljiva korespondenca ali intelektualna lastnina izpostavljeni v zlonamerni elektronski pošti in prometu sporočil.

Lažno predstavljanje po vrsti

Tortni grafikon, ki prikazuje odstotno porazdelitev različnih vrst lažnih e-poštnih sporočil, uporabljenih v napadih za ogrožanje poslovne e-pošte. Najpogostejša vrsta je vaba (62,35 %), sledijo plače (14,87 %), račun (8,29 %), darilna kartica (4,87 %), poslovne informacije (4,4 %) in drugo (5,22 %).
Podatki predstavljajo posnetek lažnega predstavljanja BEC po vrstah od januarja 2023 do aprila 2023. Več informacij o tej sliki najdete na strani 4 celotnega poročila

Glavne tarče BEC so izvršni direktorji in drugi vodilni delavci, finančni vodje, kadrovsko osebje, ki imajo dostop do evidenc zaposlenih, kot so številke socialnega zavarovanja, davčni izpiski ali drugi osebni podatki. Ciljno skupino predstavljajo tudi novi zaposleni, za katere je morda manj verjetno, da bodo preverili neznane e-poštne zahteve. Skoraj vse oblike napadov BEC so v porastu. Glavni trendi za ciljno usmerjene BEC vključujejo vabila, plačilne liste, račune, darilne kartice in poslovne informacije.

Napadi BEC se na področju kibernetske kriminalitete razlikujejo po tem, da poudarjajo socialni inženiring in umetnost prevare. Namesto izkoriščanja ranljivosti v napravah z manjkajočimi popravki skušajo upravljavci BEC izkoristiti vsakodnevno poplavo elektronske pošte in drugih sporočil, da bi žrtve zvabili k posredovanju finančnih podatkov ali k neposrednim dejanjem, kot je nezavedno pošiljanje sredstev na račune denarnih posrednikov, s katerimi kriminalci izvajajo goljufive prenose denarja.

Za razliko od »glasnega« napada z izsiljevalsko programsko opremo z motečimi izsiljevalskimi sporočili upravljavci BEC igrajo tiho igro zaupanja z izmišljenimi roki in nujnostjo, da spodbudijo prejemnike, ki so morda raztreseni ali navajeni na tovrstne nujne zahteve. Namesto nove zlonamerne programske opreme napadalci BEC prilagodijo svoje taktike in se osredotočijo na orodja, ki izboljšujejo obseg, verjetnost in uspešnost zlonamernih sporočil.

Čeprav je bilo izvedenih več odmevnih napadov, pri katerih so bili uporabljeni naslovi IP stanovanjskih hiš, Microsoft deli zaskrbljenost organov pregona in drugih organizacij, da se lahko ta trend hitro razširi, zaradi česar bo v več primerih oteženo odkrivanje dejavnosti z običajnimi alarmi ali obvestili.

Razlike v lokacijah prijave niso same po sebi zlonamerne. Uporabnik lahko na primer do poslovnih aplikacij s prenosnim računalnikom dostopa prek lokalnega omrežja Wi-Fi, hkrati pa je prek mobilnega omrežja prijavljen v iste službene aplikacije na svojem pametnem telefonu. Zato lahko organizacije na podlagi svoje tolerance do tveganja prilagodijo pragove za označevanje nemogočih potovanj. Vendar pa industrijski obseg lokaliziranih naslovov IP za napade BEC ustvarja nova tveganja za podjetja, saj iznajdljivi napadalci BEC in drugi napadalci vse pogosteje uporabljajo možnost usmerjanja zlonamerne pošte in drugih dejavnosti prek naslovnega prostora v bližini svojih ciljev.

Priporočila:

  • Povečajte varnostne nastavitve, ki varujejo vaš e-poštni predal:  Podjetja lahko svoje poštne sisteme nastavijo tako, da označijo sporočila, ki jih pošljejo zunanje stranke. Omogočite obvestila, kadar pristnost pošiljatelja ni preverjena. Blokirajte pošiljatelje z identiteto, ki je ne morete neodvisno potrditi, in v aplikacijah za e-pošto njihova sporočila prijavite kot lažno predstavljanje ali neželeno pošto.
  • Nastavite močno preverjanje pristnosti: Vklopite večkratno preverjanje pristnosti, ki poleg gesla za prijavo zahteva tudi kodo, kodo PIN ali prstni odtis. Računi s podporo večkratnega preverjanja pristnosti so bolj odporni proti nevarnosti ogrožanja poverilnic in poskusom prijave z grobo silo, ne glede na naslov, ki ga uporabljajo napadalci.
  • Usposobite zaposlene, da bodo znali prepoznati opozorilne znake:  Usposobite zaposlene tako, da bodo znali prepoznati goljufiva in druga zlonamerna e-poštna sporočila, kot je na primer neskladje domene in e-poštnih naslovov, ter o tveganju in stroških, povezanih z uspešnimi napadi BEC.

Boj proti ogrožanju poslovne e-pošte zahteva budnost in ozaveščenost

Čeprav so napadalci ustvarili specializirana orodja za lažjo uporabo BEC, vključno s kompleti za lažno predstavljanje in seznami preverjenih e-poštnih naslovov, ki so namenjeni vodilnim kadrom, vodjem računovodskih servisov in drugim posebnim vlogam, lahko podjetja uporabljajo metode za preprečevanje napadov in zmanjševanje tveganja.

Na primer, pravilnik o preverjanju pristnosti, poročanju in skladnosti (DMARC), ki temelji na domeni, z oznako »zavrni« zagotavlja najmočnejšo zaščito pred lažno e-pošto, saj zagotavlja, da so nepreverjena sporočila zavrnjena v poštnem strežniku še pred dostavo. Poleg tega so poročila DMARC mehanizem, s katerim so lahko organizacije seznanjene z virom očitnega ponaredka – te informacije običajno ne bi prejele.

Čeprav organizacije že nekaj let upravljajo popolnoma oddaljeno ali hibridno delovno silo, je v času hibridnega dela še vedno potreben ponoven razmislek o varnostni ozaveščenosti. Ker zaposleni sodelujejo z več prodajalci in pogodbeniki ter tako prejemajo več »prvič videnih« e-poštnih sporočil, se je treba zavedati, kaj te spremembe v delovnem ritmu in korespondenci pomenijo za vašo tarčo napada.

Poskusi ogrožanja s strani napadalcev BEC se lahko pojavijo v različnih oblikah, na primer telefonski klici, besedilna sporočila, e-pošta ali sporočila v družabnih medijih. Pogosta taktika je tudi ponarejanje sporočil z zahtevami za preverjanje pristnosti ter izdajanje za posameznike in podjetja.

Dober prvi obrambni korak je okrepitev pravilnikov za računovodstvo, notranje kontrole, plače ali kadrovske oddelke. Seznaniti jih je treba s tem, kako se odzvati na prejete zahteve ali obvestila o spremembah v zvezi s plačilnimi instrumenti, bančnimi storitvami ali bančnimi prenosi. Če naredite korak nazaj in odmislite zahteve, ki sumljivo ne upoštevajo pravilnikov, ali se obrnete na subjekt, ki je zaprosil, prek njegovega zakonitega spletnega mesta in predstavnikov, lahko organizacije rešite pred velikimi izgubami.

Napadi BEC so odličen primer, zakaj je treba kibernetsko tveganje obravnavati na medfunkcionalen način, pri čemer morajo za mizo poleg uradnikov za IT, skladnost s predpisi in kibernetsko tveganje sedeti tudi izvršni direktorji in vodje, finančni uslužbenci, vodje kadrovskih služb in drugi, ki imajo dostop do evidenc zaposlenih, kot so številke socialnega zavarovanja, davčni podatki, kontaktni podatki in urniki.

Priporočila:

  • Uporabite varno e-poštno rešitev: Današnje e-poštne platforme v oblaku uporabljajo zmogljivosti umetne inteligence, kot je strojno učenje, da izboljšajo obrambo in dodajo napredno zaščito pred lažnim predstavljanjem in zaznavanje sumljivega posredovanja. Aplikacije v oblaku za e-pošto in produktivnost ponujajo tudi prednosti stalnih samodejnih posodobitev programske opreme in centraliziranega upravljanja varnostnih pravilnikov.
  • Zaščitite identitete, da preprečite lateralno premikanje: Zaščita identitet je ključni steber v boju proti BEC. Nadzorujte dostop do aplikacij in podatkov s pristopom Ničelno zaupanje in samodejnim upravljanjem identitet.
  • Uvedite varno plačilno platformo: Razmislite o prehodu z računov, poslanih po elektronski pošti, na sistem, ki je posebej zasnovan za preverjanje pristnosti plačil.
  • Ustavite se za trenutek in s telefonskim klicem preverite finančne transakcije: Namesto hitrega odgovora ali klika, ki bi lahko vodil v krajo, je vredno porabiti čas za hiter telefonski pogovor, s katerim lahko preverite pristnost podatka. Vzpostavite pravilnike in pričakovanja, ki zaposlene opozarjajo, da neposredno stopijo v stik z organizacijami ali posamezniki in da ne uporabljajo informacij iz sumljivih sporočil ter tako ponovno preverijo finančne in druge zahteve.

Preberite več o grožnjah BEC in iranskih napadalcih z informacijami Simeona Kakpovija, višjega analitika obveščanja o grožnjah.

Podatki predstavljajo povprečne letne in dnevne poskuse BEC, ki so jih s pristopom Obveščanje o grožnjah Microsoft odkrili in preiskovali med aprilom 2022 in aprilom 2023. Odstranjeni enolični URL-ji lažnega predstavljanja, ki jih je Microsoftova enota za digitalne zločine zaznala med majem 2022 in aprilom 20231.

  • 35 milijonov na leto
  • 156.000 na dan
  • 417.678 odstranjenih URL-jev lažnega predstavljanja
  1. [1]

    Metodologija: Microsoftove platforme, med drugim Microsoft Defender for Office, Microsoft Threat Intelligence in Microsoft Digital Crimes Unit (DCU), so za podatke o posnetkih zagotovile anonimizirane podatke o ranljivostih naprav ter podatke o dejavnostih in trendih napadalcev. Poleg tega so raziskovalci uporabili podatke iz javnih virov, kot sta poročilo Zveznega preiskovalnega urada (FBI) 2022 Internet Crime Report in agencije Cybersecurity & Infrastructure Security Agency (CISA). Statistika na naslovnici temelji na napadih na poslovno e-pošto Microsoft DCU v okviru kibernetskega kriminala kot storitve za obdobje 2019-2022. Podatki o posnetkih predstavljajo prilagojene letne in povprečne dnevne odkrite in preiskane poskuse BEC.

Ogrožanje poslovne e-pošte Cyber signals Varnost identitet Lažno predstavljanje

Sorodni članki

Spoznanja iranskega strokovnjaka za grožnje Simeona Kakpovija

Simeon Kakpovi, višji analitik obveščevalnih podatkov o grožnjah, govori o usposabljanju nove generacije kibernetskih branilcev in premagovanju velike vztrajnosti iranskih akterjev groženj.
Več informacij

Samosvoje varnostno tveganje naprav IoT/OT

V našem najnovejšem poročilu raziskujemo, kako vedno večja povezljivost IoT/OT pomeni pojav večjih in resnejših ranljivosti, ki jih organizirani kibernetski akterji grožnje lahko izkoristijo.
Več informacij

Anatomija sodobne tarče napada

Organizacije morajo za obvladovanje vedno bolj zapletenega območja napadov razviti celovito varnostno držo. V tem poročilu je predstavljenih šest ključnih tarč napada in prikazano je, kako lahko z ustreznimi obveščevalnimi podatki o grožnjah spremenite pravila igre v korist branilcev.
Več informacij

Spremljajte Microsoft