Trace Id is missing

策略轉變導致商業電子郵件入侵激增

Cyber Signals 第 4 期:信賴度遊戲

商業電子郵件欺詐繼續上升,聯邦調查局 (FBI) 報告了  21,000 多起投訴,調整后的損失超過 27 億美元。Microsoft 觀察到專門從事商業電子郵件入侵 (BEC) 的威脅執行者的複雜性和策略有所增加,包括利用住宅互聯網協定 (IP) 位址使攻擊活動看似為本地生成。

這種新策略正在幫助犯罪分子進一步通過網路犯罪即服務(CaaS)獲利,並引起了聯邦執法部門的注意,因為它允許網路犯罪分子規避「不可能的移動」警示,該警示用於識別和阻止異常登錄嘗試和其他可疑的帳戶 活動。

我們都是網路安全捍衛者。
Microsoft 的數位犯罪小組觀察到,在 2019 年至 2022 年期間,針對商業電子郵件的網路犯罪即服務 增加了 38% 。

BulletProftLink 工業規模 BEC 服務的興起

圍繞企業級電子郵件入侵的網路犯罪活動正在加速。Microsoft 觀察到攻擊者使用平臺的重要趨勢,例如 BulletProftLink,這是一個用於創建產業規模惡意郵件活動的熱門平臺。BulletProftLink 銷售端到端服務,包括 BEC 的範本、託管和自動化服務。使用此 CaaS 的攻擊者會接收受害者的憑據和 IP 位址。

然後,BEC 威脅執行者從與受害者位置相匹配的住宅 IP 服務購買 IP 位址,從而創建住宅 IP 代理,使網路犯罪分子能夠掩蓋其來源。現在,除了使用者名稱和密碼之外,BEC 攻擊者還擁有本地化的位址空間來支援他們的惡意活動,他們可以掩蓋移動,規避「不可能的移動」旗標,並打開網關進行進一步的攻擊。Microsoft 觀察到在亞洲和東歐國家/地區的威脅執行者最常部署這種策略。

「不可能的移動」是一種偵測,用於指示使用者帳戶可能已遭入侵。這些警示旗標標記物理限制,表明任務正在兩個位置執行,而沒有適當的時間從一個位置移動到另一個位置。

網路犯罪經濟這一領域的專業化和整合可能會加劇使用住宅 IP 位址來逃避偵測。大規模映射到各個位置的住宅 IP 位址為網路犯罪分子提供了收集大量遭入侵登入資訊和存取帳戶的能力和機會。威脅執行者正在使用 IP/代理服務,行銷人員和其他人可能使用這些服務進行研究,以擴大這些攻擊的規模。例如,一個 IP 服務提供者擁有 1 億個 IP 位址,這些位址每秒可以輪換或更改一次。

雖然威脅執行者使用 Evil Proxy、Naked Pages 和 Caffeine 等網路釣魚即服務來部署網路釣魚活動並獲取遭入侵的登入資訊,但BulletProftLink提供了去中心化的網路閘道設計,其中包括用於託管網路釣魚和 BEC 網站的網際網路電腦公共區塊鏈節點,從而創建了更複雜的去中心化網路產品,更難破壞。由於公共區塊鏈的複雜性和不斷發展,這些網站的基礎設施分布在公共區塊鏈上,使得識別這些網站和調整打擊行動變得更加複雜。雖然您可以刪除網路釣魚連結,但內容仍保持在線狀態,網路犯罪分子會返回創建指向現有 CaaS 內容的新連結。

成功的 BEC 攻擊每年使組織損失數億美元。2022 年,聯邦調查局的追償資產團隊對 2,838 起涉及國內交易的 BEC 投訴發起了金融欺詐攻擊鍵,潛在損失超過 5.9 億美元

儘管財務影響很大,但更廣泛的長期損害可能包括個人身份資訊 (PII) 遭入侵時的身分識別盜用,或者機密數據丟失,如果敏感信函或智慧財產權在惡意電子郵件和訊息流量中暴露的話。

按類型劃分的網路釣魚電子郵件

圓形圖顯示了商業電子郵件入侵攻擊中使用的不同類型網路釣魚電子郵件的百分比明細。誘餌是最常見的類型,佔 62.35%,其次是工資單(14.87%)、發票(8.29%)、禮品卡(4.87%)、商業資訊(4.4%) 和其他(5.22%)。
數據代表 2023 年 1 月至 2023 年 4 月按類型劃分的 BEC 網路釣魚快照。如需詳細了解此圖片,請參閱 完整報告的第 4 頁

BEC 的首要目標是高管和其他高級領導、財務經理、有權訪問員工記錄(如社會安全號碼、稅務報表或其他 PII)的人力資源人員。新員工不太可能去驗證不熟悉的電子郵件請求,也成為目標。幾乎所有類型的 BEC 攻擊都在增加。目標 BEC 的主要趨勢包括誘餌、工資單、發票、禮品卡和商業資訊。

BEC 攻擊在網路犯罪產業中獨樹一幟,因為它們強調社交工程和欺騙藝術。BEC 運營商不惡意探索未打補丁裝置中的弱點,而是試圖利用每天大量的電子郵件流量和其他訊息來引誘受害者提供財務資訊,或採取直接行動,例如在不知不覺中將資金傳送到租用帳戶,從而幫助犯罪分子進行欺詐性匯款

與以破壞性勒索消息為特色的「嘈雜」勒索軟體攻擊不同,BEC 運營商使用人為的最後期限和緊迫性來刺激收件者,後者可能會分心或習慣於這些類型的緊急請求。BEC 攻擊者沒有使用新型惡意軟體,而是調整他們的策略,專注於提高惡意郵件的規模、合理性和收件匣成功率的工具

儘管已經發生了幾起利用住宅 IP 位址的備受矚目的攻擊,但 Microsoft 與執法部門和其他組織一樣,擔心這種趨勢可能會迅速擴展,從而在更多情況下難以使用傳統警示或通知檢測活動。

登錄位置的變異數本質上並非惡意。例如,用戶可以通過本地 Wi-Fi 使用筆記型電腦訪問業務應用程式,同時通過蜂窩網路登錄其智能手機上的相同工作應用程式。出於這個原因,各類組織可以根據其風險承受能力定製不可能移動的標誌閾值。然而,BEC 攻擊的本地化 IP 位址的產業規模給企業帶來了新的風險,因為靈活的 BEC 和其他攻擊者越來越多地選擇通過目標附近的位址空間,路由傳送惡意郵件和其他活動。

建議:

  • 最大化地保護收件匣的安全性設置: 企業可以配置其郵件系統以標記外部方發送的郵件。在郵件傳送者未通過驗證時啟用通知。封鎖具有您無法獨立確認身份的傳送者,並在電子郵件應用程式中將其郵件報告為網路釣魚或垃圾郵件。
  • 設定多重要素驗證: 啟用多重要素驗證,讓您的電子郵件不易遭入侵,這種驗證需要代碼、PIN 碼、或指紋和密碼來登入。無論攻擊者使用何種位址空間,啟用 MFA 的帳戶都能更好地抵禦登入資訊遭入侵和暴力登錄嘗試的風險。
  • 培訓員工發現警告訊號: 教育員工 識別欺詐和其他惡意電子郵件,例如域和電子郵件位址不匹配,以及與成功的 BEC 攻擊相關的風險和成本。

打擊企業級電子郵件入侵需要警惕和意識

儘管威脅執行者已經創建了專門的工具來促進 BEC,包括網路釣魚工具包和針對 C-Suite 領導者、應付賬款潛在客戶和其他特定角色的經過驗證的電子郵件地址清單,但企業可以採用多種方法來預防攻擊並降低風險。

例如,基於域的郵件身份驗證、報告和一致性(DMARC)的「拒絕」策略提供了針對詐騙電子郵件的最強保護,確保郵件伺服器上未經身份驗證的郵件甚至在傳遞之前就會被拒收。此外,DMARC 報告為組織提供了一種機制,使其了解明顯偽造的資料來源,即他們通常不會收到的資訊。

儘管各類組織管理完全遠端或混合式工作團隊方面已有數年,但在混合工作時代仍然需要重新思考安全性意識。由於員工正在與更多的供應商和承包商合作,從而收到更多「初見」電子郵件,必須意識到這些工作節奏和通信的變化對您的受攻擊面的意味。

威脅執行者的 BEC 嘗試可以採取多種形式——包括電話、文字簡訊、電子郵件或社交媒體消息。詐騙身份驗證請求消息以及冒充個人和公司也是常見的策略。

良好的防禦步驟是加強會計、內部控制、工資單或人力資源部門的政策,關注在收到有關支付工具、銀行或電匯的變更請求或通知時如何應對。退後一步,將疑似未遵守原則的要求擱置一旁,或通過其合法網站和代表聯繫請求實體,可使組織免於巨大的損失。

BEC 攻擊提供了一個很好的例子,說明需要以跨職能方式解決網路風險的原因,讓高管和領導者、財務員工、人力資源經理和其他有權訪問員工記錄(如社會安全號碼、稅務報表、聯繫資訊和日程安排)的人員,與 IT、合規和網路風險官一起參與討論。

建議:

  • 使用安全的電子郵件解決方案: 當今的電子郵件雲端平臺使用機器學習等 AI 功能來增強防禦,添加高級網路釣魚防護和可疑轉發偵測。用於電子郵件和生產力的雲端應用程式還具有持續、自動軟體更新和安全性策略集中管理的優勢。
  • 保護身分識別以禁止橫向移動: 保護身分識別是打擊 BEC 的關鍵支柱。通過 零信任 和自動化身分識別治理控制對應用程式和資料的存取。
  • 採用安全的支付平臺: 考慮從電子郵件地址式發票轉換成專為驗證付款設計的系統。
  • 點擊暫停並撥打電話來驗證金融交易: 與做出假設並快速回復或點擊相比,快速電話交談確認某事是否合法是非常值得的,因為這可能會導致盜竊。制定原則和期望,提醒員工必須直接聯繫組織或個人,而不是使用可疑訊息中提供的資訊,仔細檢查財務和其他要求。

通過高級威脅情報分析師  Simeon Kakpovi的見解,了解有關 BEC 和 伊朗網路威脅執行者的更多資訊。

快照數據表示 Microsoft 威脅情報部門在 2022 年 4 月至 2023 年 4 月期間檢測和調查到的平均年度和每日 BEC 嘗試次數。由 Microsoft 數位犯罪部門指導的唯一網路釣魚 URL 移除時間為 2022 年 5 月至 2023 年 4 月。1

  • 每年 3500 萬 
  • 每天 156,000 起
  • 417,678 次網路釣魚 URL 移除
  1. [1]

    方法:對於快照資料,包括 Microsoft Defender for Office、Microsoft 威脅情報和 Microsoft 數位犯罪部門 (DCU) 在內的 Microsoft 平臺提供了有關裝置弱點的匿名資料以及有關威脅行為者活動和趨勢的數據。此外,研究人員還使用了來自公共來源的數據,例如聯邦調查局 (FBI) 2022 年互聯網犯罪報告和網路安全性&基礎架構安全性(CISA)。封面統計數據基於 2019 年至 2022 年 Microsoft DCU 商業電子郵件網路犯罪即服務業務。快照數據表示已檢測和調查的調整后的年度和平均每日 BEC 嘗試次數。

相關文章

伊朗網路威脅行為者專家 Simeon Kakpovi 的見解

高級威脅情報分析師 Simeon Kakpovi 談到了如何培訓下一代網路防禦者,並戰勝頑固不化的伊朗網路威脅行為者。

IoT/OT 裝置獨特的安全性風險

在我們最新的報告中,探討了不斷增加的 IoT/OT 連接能力,讓組織化的網路威脅執行者有機會利用更大、更嚴重的弱點。

深入了解現代受攻擊面的剖析

為了管理日益複雜的攻擊面,各類組織必須制定全面的安全性態勢。本報告包含六個關鍵受攻擊面,將向您展示正確的威脅情報如何助力扭轉競爭環境以有利於防禦者。

關注 Microsoft 安全性