Trace Id is missing

Promena taktike podstiče nagli porast stepena ranjivosti poslovne e-pošte

Cyber Signals 4. izdanje: Igra poverenja

Prevare sa e-poštom su i dalje u porastu, a Federalni istražni biro (FBI) je prijavio više od 21.000 žalbi sa iznosom usklađenog gubitka od USD$2.7 – izraženo u milijardama. Korporacija Microsoft je zapazila povećanje u pogledu složenosti i taktika koje primenjuju zlonamerni akteri specijalizovani za ugrožavanje poslovne e-pošte (BEC), uključujući korišćenje adresa internet protokola (IP) namenjenih stambenim objektima kako bi izgledalo da su kampanje napada generisane lokalno.

Ova nova taktika omogućava kriminalcima da i nadalje unovčavaju Kibernetički kriminal kao uslugu (CaaS) i privukla je pažnju federalnih organa za sprovođenje zakona jer omogućava kibernetičkim kriminalcima da izbegnu upozorenja o „nemogućem putovanju“ koja se koriste za identifikovanje i blokiranje anomalnih pokušaja prijavljivanja i drugih sumnjivih aktivnosti naloga.

Svi učestvujemo u odbrani kibernetičke bezbednosti.
Jedinica za digitalni kriminal korporacije Microsoft zapazila je da je kibernetički kriminal kao usluga koji cilja poslovnu e-poštu imao porast od 38 procenata između 2019. i 2022. godine.

Unutrašnjost uspona BEC usluge industrijskih razmera platforme BulletProftLink

Aktivnosti kibernetičkih kriminalaca oko ugrožavanja poslovne e-pošte se ubrzavaju. Korporacija Microsoft je zapazila značajan trend napadača u korišćenju platformi kao što je BulletProftLink, popularna platforma za kreiranje kampanja sa zlonamernim porukama industrijskih razmera. BulletProftLink prodaje sveobuhvatnu uslugu, uključujući predloške, hosting i automatizovane usluge za BEC. Napadači koji koriste ovaj CaaS model dobijaju akreditive i IP adresu žrtve.

BEC zlonamerni akteri zatim kupuju IP adrese od stambenih IP usluga koje se poklapaju sa lokacijom žrtve praveći IP proxy servere za stambene objekte koji omogućavaju kibernetičkim kriminalcima da prikriju svoje mesto porekla. Zatim, naoružani lokalizovanim prostorom za adrese koje uz korisnička imena i lozinke dodatno podupire njihove zlonamerne aktivnosti, BEC napadači mogu da prikriju kretanje, zaobiđu oznake „nemoguće putovanje“ i otvore mrežni prolaz za sprovođenje daljih napada. Korporacija Microsoft je zapazila da zlonamerni akteri u Aziji i pripadnici jedne istočnoevropske nacije najčešće primenjuju ovu taktiku.

Nemoguće putovanje je način otkrivanja koji se koristi za ukazivanje na mogućnost ugroženosti korisničkog naloga. Ova upozorenja označavaju fizička ograničenja koja ukazuju na to da se zadatak obavlja na dve lokacije, kada nema dovoljno vremena za putovanje sa jedne na drugu lokaciju.

Specijalizacija i konsolidacija u ovom sektoru ekonomije kibernetičkog kriminala može dovesti do povećanja korišćenja stambenih IP adresa radi izbegavanja otkrivanja. Stambene IP adrese mapirane na lokacijama velikog obima pružaju mogućnost i priliku kibernetičkim kriminalcima da prikupe veliku količinu ugroženih akreditiva i pristupaju nalozima. Zlonamerni akteri koriste IP/proxy usluge koje marketinški stručnjaci i druge osobe mogu koristiti za istraživanje radi povećanja razmera ovih napada. Na primer, jedan dobavljač IP usluga ima 100 miliona IP adresa koje se svake sekunde mogu rotirati ili menjati.

Dok zlonamerni akteri za phishing kao uslugu koriste Evil Proxy, Naked Pages i Caffeine radi sprovođenja phishing kampanja i dobavljanja ugroženih akreditiva, BulletProftLink nudi dizajn decentralizovanog mrežnog prolaza koji sadrži čvorišta javnih lanaca blokova Internet Computer protokola za hostovanje phishing i BEC sajtova, praveći još složeniju decentralizovanu veb ponudu koju je mnogo teže ometati. Usled distribucije veoma složene infrastrukture ovih sajtova i sve većeg rasta javnih lanaca blokova, teže ih je identifikovati i uskladiti radnje za njihovo otklanjanje. Iako phishing vezu možete ukloniti, sadržaj ostaje na mreži, a kibernetički kriminalci ponovo kreiraju novu vezu do postojećeg CaaS sadržaja.

Usled uspešnih BEC napada organizacije su izložene gubicima u vrednosti od više stotina miliona dolara godišnje. 2022. godine tim za oporavak imovine agencije FBI pokrenuo je lanac za zaustavljanje finansijskih prevara po osnovu 2.838 žalbi za BEC koje su se odnosile na domaće transakcije sa potencijalnim gubicima od preko 590 miliona USD.

Iako su finansijske posledice značajne, obimnija dugoročna šteta mogla bi podrazumevati krađu identiteta ukoliko su ugrožene informacije za identifikaciju krajnjeg korisnika (PII), kao i gubitak poverljivih podataka ako su u zlonamernom saobraćaju e-pošte i poruka izložene osetljiva prepiska ili intelektualna svojina.

Phishing pošte prema tipu

Kružni grafikon prikazuje procentualnu analizu različitih tipova phishing e-poruka koje se koriste u napadima ugrožavanja poslovne e-pošte. Mamac je najčešće korišćen tip sa 62,35%, zatim Platni spisak (14,87%), Faktura (8,29%), Poklon-kartica (4,87%), Poslovne informacije (4,4%) i Ostalo (5,22%).
Podaci predstavljaju snimak BEC phishing-a prema tipu od januara 2023. do aprila 2023. Saznajte više o ovoj slici na stranici 4 kompletnog izveštaja

U najpopularnije mete za BEC spadaju izvršni i drugi viši rukovodioci, finansijski direktori, osoblje u službama za ljudske resurse sa pristupom podacima u evidenciji zaposlenih kao što su brojevi socijalnog osiguranja, poreski izveštaji i ostali lični podaci. Mete predstavljaju i novi zaposleni kod kojih je manja verovatnoća da će verifikovati nepoznate zahteve e-pošte. Skoro svi oblici BEC napada su u porastu. U najvažnije trendove ciljanih BEC napada spadaju mamac, platni spisak, faktura, poklon-kartica i poslovne informacije.

BEC napadi se izdvajaju u oblasti kibernetičkog kriminala po tome što naglasak stavljaju na društveni inženjering, kao i po veštini obmane. Umesto da koriste ranjivosti uređaja bez zakrpa, BEC operateri nastoje da iskoriste more svakodnevnog saobraćaja e-pošte i drugih poruka kako bi prevarom naveli žrtve da otkriju finansijske informacije ili da preduzmu direktne radnje kao što je nesvesno slanje sredstava na račune pod nazivom „mazge za prenos novca“, što kriminalcima omogućava da izvrše prevaru sa prenosom novca

Za razliku od „bučnog“ ransomver napada koji sadrži uznemirujuće poruke o iznuđivanju, BEC operateri igraju tihu igru poverenja koristeći izmišljene rokove i hitnost kako bi podstakli primaoce koji mogu biti rastrojeni ili su navikli na ovu vrstu hitnih zahteva. Umesto novog malvera, BEC napadači usklađuju taktike kako bi se fokusirali na alatke koje povećavaju obim, verodostojnost i stopu uspeha zlonamernih poruka u prijemnom sandučetu

Iako je bilo nekoliko visoko profilisanih napada koji koriste IP adrese stambenih prostora, Microsoft deli zabrinutost organa za sprovođenje zakona i drugih organizacija da se ovaj trend može brzo proširiti, što u većem broju slučajeva otežava otkrivanje aktivnosti sa tradicionalnim upozorenjima ili obaveštenjima.

Razlike u lokacijama prijavljivanja nisu same po sebi zlonamerne. Na primer, korisnik može da pristupi poslovnim aplikacijama na laptopu preko lokalne Wi-Fi veze i da istovremeno bude prijavljen u iste poslovne aplikacije na pametnom telefonu preko mobilne mreže. Iz tog razloga, organizacije mogu da prilagode graničnu vrednost za nemoguće putovanje na osnovu svoje otpornosti na rizik. Međutim, industrijski obim lokalizovanih IP adresa za BEC napade stvara nove rizike za velika preduzeća, budući da prilagodljivi BEC i drugi napadači sve više koriste opciju usmeravanja zlonamerne pošte i drugih aktivnosti kroz adresni prostor u blizini meta.

Preporuke:

  • Povećajte do najveće moguće mere bezbednosne postavke za zaštitu prijemnog sandučeta: Velika preduzeća mogu konfigurisati sisteme za poštu tako da poruke koje šalju spoljne strane budu obeležene zastavicom. Omogućite obaveštenja kada pošiljaoci pošte nisu verifikovani. Blokirajte pošiljaoce čiji identitet ne možete sami potvrditi i prijavite njihove poruke kao phishing ili neželjenu poštu u aplikacijama za e-poštu.
  • Podesite jaku potvrdu identiteta: Otežajte ugrožavanje e-pošte tako što ćete uključiti višestruku potvrdu identiteta, koja za prijavljivanje zahteva kôd, PIN ili otisak prsta, kao i lozinku. Nalozi sa omogućenom višestrukom potvrdom identiteta otporniji su na rizik od ugroženih akreditiva i nasilnih pokušaja prijavljivanja, bez obzira na to koji adresni prostor napadači koriste.
  • Obučite zaposlene da uočavaju znakove upozorenja: Naučite zaposlene da uočavaju lažne i druge zlonamerne e-poruke, kao što su nepodudaranje u domenu i adresama e-pošte, kao i o rizicima i troškovima povezanim sa uspešnim BEC napadima.

Borba protiv ugrožavanja poslovne e-pošte zahteva opreznost i obaveštenost

Iako su zlonamerni akteri kreirali specijalizovane alatke za olakšavanje BEC napada, uključujući komplete za phishing i spiskove verifikovanih adresa e-pošte birajući kao mete rukovodioce u upravi, platne račune potencijalnih klijenata i druge specifične uloge, velika preduzeća mogu koristiti metode za sprečavanja napada i smanjenje rizika.

Na primer, smernice „odbacivanja“ potvrde poruka, izveštavanja i usaglašenosti na nivou domena (DMARC) pružaju najjaču zaštitu od lažne e-pošte, što obezbeđuje da se poruke čiji identitet nije potvrđen odbacuju na serveru pošte, čak i pre isporuke. Pored toga, DMARC izveštaji obezbeđuju organizaciji mehanizam pomoću kojeg je upoznata sa izvorom očiglednog falsifikata, što predstavlja informaciju koju inače ne bi dobila.

Iako se organizacije nekoliko godina bave upravljanjem potpuno udaljenom ili hibridnom radnom snagom, i dalje je potrebno preispitivanje svesti o bezbednosti u eri hibridnog rada. Budući da zaposleni sarađuju sa više dobavljača i izvođača, a samim tim dobijaju i više „prvi put viđenih“ e-poruka, neophodno je imati na umu šta za vašu površinu napada znače te promene ritma i prepiske na poslu.

Pokušaji BEC zlonamernih aktera mogu imati različite oblike – uključujući telefonske pozive, tekstualne poruke, e-poruke ili poruke na društvenim mrežama. U uobičajene taktike spadaju i lažno predstavljanje poruka kao zahteva za potvrdu identiteta i imitiranje osoba ili preduzeća.

Dobar prvi odbrambeni korak je jačanje smernica za računovodstvo, unutrašnju kontrolu, obračun plata ili sektore za ljudske resurse o tome kako odgovoriti na zahteve ili obaveštenja o promenama u vezi sa instrumentima plaćanja, bankovnim ili elektronskim transferom. Vraćanje korak unazad na uzgredne zahteve koji na sumnjiv način nisu u skladu sa smernicama, ili pak obraćanje pravnom licu koje je poslalo zahtev preko zakonitog sajta ili predstavnika, može sprečiti da organizacija pretrpi ogromne gubitke.

BEC napadi predstavljaju odličan primer za razumevanje razloga zbog kojih kibernetički rizik treba rešavati na višefunkcionalan način zajedno sa izvršnim organima i rukovodiocima, zaposlenima u sektoru finansija, menadžerima za ljudske resurse i drugim osobama koje imaju pristup podacima u evidenciji zaposlenih, kao što su brojevi socijalnog osiguranja, poreske prijave, kontakt informacije i rasporedi, za istim stolom sa službenicima za IT, usaglašenost i kibernetički rizik.

Preporuke:

  • Koristite bezbedno rešenje za e-poštu: Današnje platforme za e-poštu u oblaku koriste mogućnosti veštačke inteligencije kao što je mašinsko učenje radi poboljšanja odbrane, dodavanje napredne zaštite od phishing-a i otkrivanje sumnjivih prosleđivanja. Aplikacije za e-poštu i produktivnost u oblaku nude i prednosti stalnih, automatskih softverskih ispravki i centralizovanog upravljanja smernicama za bezbednost.
  • Zaštitite identitete kako biste zabranili bočno kretanje: Zaštita identiteta je ključni stub za borbu protiv BEC napada. Kontrolišite pristup aplikacijama i podacima uz model Nulta pouzdanost i automatizovano upravljanje identitetima.
  • Usvojite platformu za bezbedno plaćanje: Razmotrite prelazak sa slanja faktura e-poštom na sistem koji je posebno dizajniran za potvrdu identiteta plaćanja.
  • Napravite pauzu i koristite telefonski poziv da biste verifikovali finansijske transakcije: Brz telefonski razgovor kako bi se potvrdilo da je nešto legitimno vredan je utrošenog vremena, umesto da brzim odgovorom ili klikom pretpostavljate, što može dovesti do krađe. Ustanovite smernice i očekivanja koja zaposlene podsećaju koliko je važno obraćati se direktno organizacijama i pojedincima – umesto da koriste informacije dobijene u sumnjivim porukama – kako bi ponovo proverili finansijske i druge zahteve.

Saznajte više o BEC napadima i iranskim zlonamernim akterima uz uvide dobijene od Simeona Kakpovi, višeg analitičara za Microsoft informacije o pretnjama.

Podaci na snimku predstavljaju prosečan broj godišnjih i dnevnih pokušaja BEC napada koje je od aprila 2022. do aprila 2023. godine otkrila i istražila služba za Microsoft informacije o pretnjama. Broj uklanjanja jedinstvenih phishing URL adresa koja je sprovela Jedinica za digitalni kriminal korporacije Microsoft od maja 2022. do aprila 2023.1

  • 35 miliona godišnje
  • 156.000 dnevno
  • 417.678 uklanjanja phishing URL adresa
  1. [1]

    Metodologija: U podacima na snimku, Microsoft platforme uključujući Microsoft Defender za Office, Microsoft informacije o pretnjama i Jedinicu za digitalni kriminal (DCU) obezbedile su anonimne podatke o ranjivosti uređaja i podatke o aktivnostima i trendovima zlonamernih aktera. Pored toga, istraživači su koristili podatke iz javnih izvora, kao što je Izveštaj o internet kriminalu i kibernetičkoj bezbednosti Federalnog istražnog biroa (FBI) za 2022. godinu i & Agencije za bezbednost infrastrukture (CISA). Statistika na naslovnici zasnovana je na angažmanima kibernetičkog kriminala kao usluge na Microsoft DCU poslovnu e-poštu od 2019. do 2022. godine. Podaci na snimku predstavljaju korigovane godišnje i prosečne dnevne pokušaje BEC napada koji su otkriveni i istraženi.

Srodni članci

Uvidi Simeona Kakpovi, stručnjaka za iranske zlonamerne aktere

Viši analitičar za informacije o pretnjama, Simeon Kakpovi, govori o obuci nove generacije kibernetičkih zaštitnika i prevazilaženju velike upornosti iranskih zlonamernih aktera.

Jedinstven bezbednosni rizik IoT/OT uređaja

U najnovijem izveštaju istražujemo kako povećanje povezanosti na relaciji Internet stvari/Operativna tehnologija dovodi do većih i ozbiljnijih ranjivosti koje organizovani akteri kibernetičkih pretnji mogu da iskoriste.

Anatomija savremene površine napada

Da bi upravljale sve složenijom površinom napada, organizacije moraju da razviju sveobuhvatno stanje bezbednosti. Sa šest ključnih oblasti površine napada, ovaj izveštaj će vam pokazati kako odgovarajuće informacije o pretnjama mogu omogućiti da se igralište preokrene u korist odbrane.

Pratite Microsoft bezbednost