直接從 Microsoft 威脅情報播客上的專家那裡獲得見解。 立即收聽.
商業電子郵件欺詐繼續上升,聯邦調查局 (FBI) 報告了 21,000 多起投訴,調整后的損失超過 27 億美元。Microsoft 觀察到專門從事商業電子郵件入侵 (BEC) 的威脅執行者的複雜性和策略有所增加,包括利用住宅互聯網協定 (IP) 位址使攻擊活動看似為本地生成。
這種新策略正在幫助犯罪分子進一步通過網路犯罪即服務(CaaS)獲利,並引起了聯邦執法部門的注意,因為它允許網路犯罪分子規避「不可能的移動」警示,該警示用於識別和阻止異常登錄嘗試和其他可疑的帳戶 活動。
圍繞企業級電子郵件入侵的網路犯罪活動正在加速。Microsoft 觀察到攻擊者使用平臺的重要趨勢,例如 BulletProftLink,這是一個用於創建產業規模惡意郵件活動的熱門平臺。BulletProftLink 銷售端到端服務,包括 BEC 的範本、託管和自動化服務。使用此 CaaS 的攻擊者會接收受害者的憑據和 IP 位址。
然後,BEC 威脅執行者從與受害者位置相匹配的住宅 IP 服務購買 IP 位址,從而創建住宅 IP 代理,使網路犯罪分子能夠掩蓋其來源。現在,除了使用者名稱和密碼之外,BEC 攻擊者還擁有本地化的位址空間來支援他們的惡意活動,他們可以掩蓋移動,規避「不可能的移動」旗標,並打開網關進行進一步的攻擊。Microsoft 觀察到在亞洲和東歐國家/地區的威脅執行者最常部署這種策略。
「不可能的移動」是一種偵測,用於指示使用者帳戶可能已遭入侵。這些警示旗標標記物理限制,表明任務正在兩個位置執行,而沒有適當的時間從一個位置移動到另一個位置。
雖然威脅執行者使用 Evil Proxy、Naked Pages 和 Caffeine 等網路釣魚即服務來部署網路釣魚活動並獲取遭入侵的登入資訊,但BulletProftLink提供了去中心化的網路閘道設計,其中包括用於託管網路釣魚和 BEC 網站的網際網路電腦公共區塊鏈節點,從而創建了更複雜的去中心化網路產品,更難破壞。由於公共區塊鏈的複雜性和不斷發展,這些網站的基礎設施分布在公共區塊鏈上,使得識別這些網站和調整打擊行動變得更加複雜。雖然您可以刪除網路釣魚連結,但內容仍保持在線狀態,網路犯罪分子會返回創建指向現有 CaaS 內容的新連結。
成功的 BEC 攻擊每年使組織損失數億美元。2022 年,聯邦調查局的追償資產團隊對 2,838 起涉及國內交易的 BEC 投訴發起了金融欺詐攻擊鍵,潛在損失超過 5.9 億美元。
儘管財務影響很大,但更廣泛的長期損害可能包括個人身份資訊 (PII) 遭入侵時的身分識別盜用,或者機密數據丟失,如果敏感信函或智慧財產權在惡意電子郵件和訊息流量中暴露的話。
BEC 的首要目標是高管和其他高級領導、財務經理、有權訪問員工記錄(如社會安全號碼、稅務報表或其他 PII)的人力資源人員。新員工不太可能去驗證不熟悉的電子郵件請求,也成為目標。幾乎所有類型的 BEC 攻擊都在增加。目標 BEC 的主要趨勢包括誘餌、工資單、發票、禮品卡和商業資訊。
BEC 攻擊在網路犯罪產業中獨樹一幟,因為它們強調社交工程和欺騙藝術。BEC 運營商不惡意探索未打補丁裝置中的弱點,而是試圖利用每天大量的電子郵件流量和其他訊息來引誘受害者提供財務資訊,或採取直接行動,例如在不知不覺中將資金傳送到租用帳戶,從而幫助犯罪分子進行欺詐性匯款
與以破壞性勒索消息為特色的「嘈雜」勒索軟體攻擊不同,BEC 運營商使用人為的最後期限和緊迫性來刺激收件者,後者可能會分心或習慣於這些類型的緊急請求。BEC 攻擊者沒有使用新型惡意軟體,而是調整他們的策略,專注於提高惡意郵件的規模、合理性和收件匣成功率的工具
儘管已經發生了幾起利用住宅 IP 位址的備受矚目的攻擊,但 Microsoft 與執法部門和其他組織一樣,擔心這種趨勢可能會迅速擴展,從而在更多情況下難以使用傳統警示或通知檢測活動。
登錄位置的變異數本質上並非惡意。例如,用戶可以通過本地 Wi-Fi 使用筆記型電腦訪問業務應用程式,同時通過蜂窩網路登錄其智能手機上的相同工作應用程式。出於這個原因,各類組織可以根據其風險承受能力定製不可能移動的標誌閾值。然而,BEC 攻擊的本地化 IP 位址的產業規模給企業帶來了新的風險,因為靈活的 BEC 和其他攻擊者越來越多地選擇通過目標附近的位址空間,路由傳送惡意郵件和其他活動。
打擊企業級電子郵件入侵需要警惕和意識
儘管威脅執行者已經創建了專門的工具來促進 BEC,包括網路釣魚工具包和針對 C-Suite 領導者、應付賬款潛在客戶和其他特定角色的經過驗證的電子郵件地址清單,但企業可以採用多種方法來預防攻擊並降低風險。
例如,基於域的郵件身份驗證、報告和一致性(DMARC)的「拒絕」策略提供了針對詐騙電子郵件的最強保護,確保郵件伺服器上未經身份驗證的郵件甚至在傳遞之前就會被拒收。此外,DMARC 報告為組織提供了一種機制,使其了解明顯偽造的資料來源,即他們通常不會收到的資訊。
儘管各類組織管理完全遠端或混合式工作團隊方面已有數年,但在混合工作時代仍然需要重新思考安全性意識。由於員工正在與更多的供應商和承包商合作,從而收到更多「初見」電子郵件,必須意識到這些工作節奏和通信的變化對您的受攻擊面的意味。
威脅執行者的 BEC 嘗試可以採取多種形式——包括電話、文字簡訊、電子郵件或社交媒體消息。詐騙身份驗證請求消息以及冒充個人和公司也是常見的策略。
良好的防禦步驟是加強會計、內部控制、工資單或人力資源部門的政策,關注在收到有關支付工具、銀行或電匯的變更請求或通知時如何應對。退後一步,將疑似未遵守原則的要求擱置一旁,或通過其合法網站和代表聯繫請求實體,可使組織免於巨大的損失。
BEC 攻擊提供了一個很好的例子,說明需要以跨職能方式解決網路風險的原因,讓高管和領導者、財務員工、人力資源經理和其他有權訪問員工記錄(如社會安全號碼、稅務報表、聯繫資訊和日程安排)的人員,與 IT、合規和網路風險官一起參與討論。
通過高級威脅情報分析師 Simeon Kakpovi的見解,了解有關 BEC 和 伊朗網路威脅執行者的更多資訊。
快照數據表示 Microsoft 威脅情報部門在 2022 年 4 月至 2023 年 4 月期間檢測和調查到的平均年度和每日 BEC 嘗試次數。由 Microsoft 數位犯罪部門指導的唯一網路釣魚 URL 移除時間為 2022 年 5 月至 2023 年 4 月。1
方法:對於快照資料,包括 Microsoft Defender for Office、Microsoft 威脅情報和 Microsoft 數位犯罪部門 (DCU) 在內的 Microsoft 平臺提供了有關裝置弱點的匿名資料以及有關威脅行為者活動和趨勢的數據。此外,研究人員還使用了來自公共來源的數據,例如聯邦調查局 (FBI) 2022 年互聯網犯罪報告和網路安全性&基礎架構安全性(CISA)。封面統計數據基於 2019 年至 2022 年 Microsoft DCU 商業電子郵件網路犯罪即服務業務。快照數據表示已檢測和調查的調整后的年度和平均每日 BEC 嘗試次數。
關注 Microsoft