Trace Id is missing

Mijenjanje taktike potiče porast ugrožavanja poslovne e-pošte

Preuzmi
Zajedničko korištenje

Cyber Signals izdanje 4: Igra pouzdanosti

Prijevare s poslovnom e-poštom i dalje u porastu, a Savezni istražni ured (FBI) prijavio je više od 21 000 žalbi s iznosom usklađenog gubitka od 2,7 milijardi USD. Microsoft je zamijetio povećanje u pogledu sofisticiranosti i taktika koje primjenjuju zlonamjerni akteri specijalizirani za ugrožavanje poslovne e-pošte (BEC), uključujući upotrebu adresa internet protokola (IP) namijenjenih stambenim objektima kako bi izgledalo da su kampanje napada generirane lokalno.

Ova nova taktika omogućava zločincima da i nadalje monetiziraju Računalni zločin kao uslugu (CaaS) i privukla je pažnju saveznih organa za provođenje zakona jer omogućava računalnim zločincima da izbjegnu upozorenja o „nemogućem putovanju” koja se koriste za identificiranje i blokiranje nepravilnih pokušaja prijave i drugih sumnjivih aktivnosti računa.

Svi branimo računalnu sigurnost.
Microsoftova jedinica za digitalne zločine primijetila je da je računalni zločin kao usluga koja cilja poslovnu e-poštu  porastao za 38 posto između 2019. i 2022. godine.

Unutrašnjost uspona BEC usluge industrijskih razmjera platforme BulletProftLink

Aktivnost računalnih zločinaca u vezi ugrožavanja poslovne e-pošte se ubrzava. Microsoft je uočio značajan trend napadača u korištenju platformi kao što je BulletProftLink, popularna platforma za kreiranje kampanja sa zlonamjernim porukama industrijskih razmjera. BulletProftLink prodaje sveobuhvatnu uslugu, uključujući predloške, hosting i automatizirane usluge za BEC. Napadači koji koriste ovaj CaaS model dobivaju vjerodajnice i IP adresu žrtve.

BEC zlonamjerni akteri zatim kupuju IP adrese od stambenih IP usluga koje se poklapaju s lokacijom žrtve stvarajući IP proxy poslužitelje za stambene objekte koji omogućavaju računalnim zločincima da prikriju svoje mjesto porijekla. Zatim, naoružani lokaliziranim prostorom za adrese koji uz korisnička imena i lozinke dodatno podupire njihove zlonamjerne aktivnosti, BEC napadači mogu prikriti kretanje, zaobići oznake „nemoguće putovanje” i otvoriti pristupnik za provođenje daljnjih napada. Microsoft je uočio da zlonamjerni akteri u Aziji i pripadnici jedne istočnoeuropske države najčešće primjenjuju ovu taktiku.

Nemoguće putovanje je način otkrivanja koji se koristi za ukazivanje na mogućnost ugrožavanja korisničkog računa. Ova upozorenja označavaju fizička ograničenja koja ukazuju na to da se zadatak obavlja na dvije lokacije,bez dovoljno vremena za putovanje s jedne na drugu lokaciju.

Specijalizacija i konsolidacija u ovom sektoru ekonomije računalnog zločinamože dovesti do povećanja korištenja stambenih IP adresa radi izbjegavanja otkrivanja. Stambene IP adrese mapirane na lokacijama velikog obujma pružaju mogućnost i priliku računalnim zločincima da prikupe veliku količinu ugroženih vjerodajnicama i pristupe računima. Zlonamjerni akteri koriste IP/proxy usluge koje marketinški stručnjaci i druge osobe mogu koristiti za istraživanje radi povećanja razmjera ovih napada. Na primjer, jedan dobavljač IP usluga ima 100 milijuna IP adresa koje se svake sekunde mogu rotirati ili mijenjati.

Dok zlonamjerni akteri za krađu identiteta kao uslugu koriste Evil Proxy, Naked Pages i Caffeine radi provođenja kampanja krađe identiteta i dobavljanja ugroženih vjerodajnica, BulletProftLink nudi dizajn decentraliziranog pristupnika koji sadržava čvorišta javnih lanaca blokova Internet Computer protokola za hostiranje stranica za krađu identiteta i BEC stranica i tako rade još sofisticiraniju decentraliziranu web ponudu koju je još teže ometati. Zbog distribucije veoma složene infrastrukture ovih stranica i sve većeg rasta javnih lanaca blokova, složenije ih je identificirati i uskladiti radnje za njihovo otklanjanje. Iako vezu krađe identiteta možete ukloniti, sadržaj ostaje na mreži, a računalni zločinci ponovo stvaraju novu vezu do postojećeg CaaS sadržaja.

Uspješni BEC napadi koštaju tvrtke ili ustanove stotine milijuna dolara godišnje. U 2022. Tim za oporavak imovine pri Saveznom istražnom uredu pokrenuo je lanac za zaustavljanje financijskih prijevara po osnovi 2838 žalbi za BEC koje su se odnosile na domaće transakcije s potencijalnim gubicima od preko 590 milijuna USD.

Iako su financijske posljedice značajne, šira dugoročna šteta mogla bi obuhvaćati krađu identiteta ako su ugrožene informacije za identifikaciju krajnjeg korisnika (PII), kao i gubitak povjerljivih podataka ako su u zlonamjernom prometu e-pošte i poruka izloženi povjerljiva korespondencija ili intelektualno vlasništvo.

E-pošta krađe identiteta prema vrsti

Tortni grafikon prikazuje analizu u postocima različitih vrsta poruka e-pošte krađe identiteta koje se koriste u napadima ugrožavanja poslovne e-pošte. Mamac je najčešće korišten tip s 62,35 %, zatim slijedi Platna lista (14,87 %), Faktura (8,29 %), Poklon-bon (4,87 %), Poslovne informacije (4,4 %) i Ostalo (5,22 %).
Podaci predstavljaju snimku stanja BEC krađe identiteta prema vrsti od siječnja 2023. do travnja 2023. Saznajte više o ovoj slici na stranici 4 u  cijelom izvješću

U najpopularnije mete za BEC spadaju izvršni i drugi viši rukovoditelji, financijski direktori, osoblje u službama za ljudske potencijale s pristupom podacima u evidenciji zaposlenih kao što su brojevi socijalnog osiguranja, porezni izvještaji i ostali osobni podaci. Mete predstavljaju i novi zaposleni kod kojih je manja vjerojatnost da će potvrditi nepoznate zahtjeve e-pošte. Skoro su svi oblici BEC napada u porastu. U najvažnije trendove ciljanih BEC napada spadaju mamac, platna lista, faktura, poklon-bon i poslovne informacije.

BEC napadi ističu se u domeni računalnog zločina po tome što naglasak stavljaju na društveni inženjering, kao i po vještini obmane. Umjesto da iskorištavaju ranjivosti nezakrpanih uređaja, BEC operateri nastoje iskoristiti more svakodnevnog prometa e-pošte i drugih poruka kako bi prijevarom naveli žrtve da otkriju financijske informacije ili poduzmu izravne radnje kao što je nesvjesno slanje sredstava na račune „mazge za prijenos novca”, što zločincima omogućava da izvrše prijevaru s prijenosom novca

Za razliku od „bučnog”napada ucjenjivačkog softvera koji sadrži uznemirujuće poruke o iznuđivanju, BEC operateri igraju tihu igru povjerenja koristeći izmišljene rokove i hitnost kako bi potaknuli primatelje koji mogu biti zbunjeni ili su navikli na ovu vrstu hitnih zahtjeva. Umjesto novog zlonamjernog softvera, BEC napadači usklađuju taktike kako bi se fokusirali na alate koji povećavaju obujam, vjerodostojnost i stopu uspjeha zlonamjernih poruka u ulaznoj pošti

Iako je bilo nekoliko visokoprofiliranih napada koji koriste IP adrese stambenih prostora, Microsoft dijeli zabrinutost tijela za provođenje zakona i drugih organizacija da se ovaj trend može brzo proširiti, što u većem broju slučajeva otežava otkrivanje aktivnosti s tradicionalnim upozorenjima ili obavijestima.

Razlike u lokacijama prijave nisu same po sebi zlonamjerne. Na primjer, korisnik može pristupiti poslovnim aplikacijama na prijenosnom računalu preko lokalne Wi-Fi mreže i istovremeno biti prijavljen u iste poslovne aplikacije na pametnom telefonu preko mobilne mreže. Iz tog razloga tvrtke ili ustanove mogu prilagoditi graničnu vrijednost za nemoguće putovanje na osnovu svoje otpornosti na rizik. Međutim, industrijski obujam lokaliziranih IP adresa za BEC napade stvara nove rizike za velika poduzeća jer prilagodljivi BEC i drugi napadači sve više koriste opciju usmjeravanja zlonamjerne pošte i drugih aktivnosti kroz prostor adrese blizu svojih meta.

Preporuke:

  • Maksimizirajte sigurnosne postavke za zaštitu ulazne pošte: Velika poduzeća mogu konfigurirati sustave za poštu tako da poruke koje šalju vanjske strane budu obilježene zastavicom. Omogućite obavijesti kada pošiljatelji pošte nisu potvrđeni. Blokirajte pošiljatelje čiji identitet ne možete sami potvrditi i prijavite njihove poruke kao krađu identiteta ili neželjenu poštu u aplikacijama za e-poštu.
  • Podesite snažnu provjeru autentičnosti: Otežajte ugrožavanje e-pošte uključivanjem višestruke provjere autentičnosti, pri kojoj su za prijavu uz lozinku potrebni i kod, PIN ili otisak prsta. Računi s omogućenom višestrukom provjerom autentičnosti otporniji su na rizik od ugroženih vjerodajnica i nasilnih pokušaja prijave, bez obzira na to koji prostor adrese napadači koriste.
  • Obučite zaposlenike da uočavaju znakove upozorenja: Educirajte zaposlene da uočavaju lažne i druge zlonamjerne e-poruke, kao što su nepodudaranje u domeni i adresama e-pošte, kao i o rizicima i troškovima povezanima s uspješnim BEC napadima.

Borba protiv ugrožavanja poslovne e-pošte zahtijeva oprez i osviještenost

Iako su zlonamjerni akteri stvorili specijalizirane alate za olakšavanje BEC napada, uključujući komplete za krađu identiteta i popise provjerenih adresa e-pošte birajući kao mete rukovoditelje u upravi, platne račune potencijalnih klijenata i druge specifične uloge, velika poduzeća mogu koristiti metode za sprječavanja napada i smanjenje rizika.

Na primjer, provjera autentičnosti poruka, izvješćivanje i usklađenost na razini domene (DMARC) pružaju najjaču zaštitu od lažne e-pošte, što osigurava da se poruke čiji identitet nije potvrđen odbacuju na poslužitelju pošte, čak i prije isporuke. Pored toga, DMARC izvješća pružaju tvrtki ili ustanovi mehanizam s pomoću kojeg je upoznata s izvorom očitog krivotvorenja, što predstavlja informaciju koju inače ne bi dobila.

Iako se tvrtke ili ustanove nekoliko godina bave upravljanjem potpuno udaljenom ili hibridnom radnom snagom, i dalje je potrebno preispitivanje osviještenosti o sigurnosti u eri hibridnog rada. Budući da zaposleni surađuju s više dobavljača i izvođača, a samim time dobivaju i više „prvi put viđenih” e-poruka, neophodno je imati na umu što za vašu površinu za napad znače te promjene ritma i korespondencija na poslu.

Pokušaji BEC zlonamjernih aktera mogu imati različite oblike – uključujući telefonske pozive, tekstualne poruke, poruke e-pošte ili poruke na društvenim mrežama. U uobičajene taktike spadaju i lažno predstavljanje poruka kao zahtjeva za potvrdu identiteta i imitiranje osoba ili poduzeća.

Dobar prvi obrambeni korak je jačanje smjernica za računovodstvo, unutrašnju kontrolu, obračun plaća ili sektore za ljudske potencijale o tome kako odgovoriti na zahtjeve ili obavijesti o promjenama u vezi s načinima plaćanja, bankarstvom ili elektronskim transferom. Vraćanje korak unazad na usputne zahtjeve koji na sumnjiv način nisu u skladu sa smjernicama, ili pak obraćanje pravnom subjektu koje je poslalo zahtjev preko zakonite stranice ili predstavnika, može spriječiti ogromne gubitke u tvrtki ili ustanovi.

BEC napadi predstavljaju odličan primjer za razumijevanje razloga zbog kojih kibernetički rizik treba rješavati na multifunkcionalan način zajedno s izvršnim tijelima i rukovoditeljima, zaposlenima u sektoru financija, menadžerima za ljudske potencijale i drugim osobama koje imaju pristup podacima u evidenciji zaposlenih, kao što su brojevi socijalnog osiguranja, porezne prijave, informacije za kontakt i rasporedi, za istim stolom sa službenicima za IT, usklađenost i kibernetički rizik.

Preporuke:

  • Koristite sigurno rješenje za e-poštu: Današnje platforme za e-poštu u oblaku koriste mogućnosti umjetne inteligencije kao što su strojno učenje radi poboljšanja obranje, dodavanje napredne zaštite od krađe identiteta i otkrivanje sumnjivih prosljeđivanja. Aplikacije za e-poštu i produktivnost u oblaku nude i prednosti stalnih, automatskih softverskih ispravi i centraliziranog upravljanja pravilnicima za sigurnost.
  • Zaštitite identitete kako biste zabranili lateralno kretanje: Zaštita identiteta ključni je stup u borbi protiv BEC napada. Kontrolirajte pristup aplikacijama i podacima uz model ”svi su nepouzdani” i automatizirano upravljanje identitetima.
  • Usvojite sigurnu platformu plaćanja: Razmislite o prelasku sa slanja faktura e-poštom na sustav posebno namijenjen za provjeru autentičnosti plaćanja.
  • Napravite pauzu i koristite telefonski poziv kako biste potvrdili financijske transakcije: Brzi telefonski razgovor kako bi se potvrdilo da je nešto zakonito vrijedan je utrošenog vremena, umjesto da brzim odgovorom ili klikom pretpostavljate, što može dovesti do krađe. Uspostavite pravilnike i očekivanja koja zaposlenike podsjećaju koliko je važno obraćati se izravno tvrtkama ili ustanovama i pojedincima – umjesto da koriste informacije dobivene u sumnjivim porukama – kako bi ponovo provjerili financijske i druge zahtjeve.

Saznajte više o BEC napadima i iranskim zlonamjernim akterima uz uvide od Simeona Kakpovija, višeg analitičara za obavještavanje o prijetnjama.

Podaci na snimci zaslona predstavljaju prosječan broj godišnjih i dnevnih pokušaja BEC napada koje je od travnja 2022. do travnja 2023. godine otkrila i istražilo Microsoftovo obavještavanje o prijetnjama. Broj uklanjanja jedinstvenih URL adresa krađe identiteta kojima je upravljala Microsoftova jedinica za digitalne zločine od svibnja 2022. do travnja 20231.

  • 35 milijuna godišnje
  • 156 000 dnevno
  • 417 678 uklanjanja URL adresa krađe identiteta
  1. [1]

    Metodologija: Za podatke snimke stanja Microsoftove platforme, uključujući Microsoft Defender za Office, Microsoftovo obavještavanje o prijetnjama i Jedinica za digitalne zločine (DCU) pružile su anonimne podatke o ranjivostima uređaja i podatke o aktivnostima i trendovima zlonamjernih aktera. Pored toga, istraživači su koristili podatke iz javnih izvora, kao što je Izvješće o internetskom zločinu i računalnoj sigurnosti ori Saveznom istražnom uredu (FBI) za 2022. godinu i & Agencija za sigurnost infrastrukture (CISA). Statistika na naslovnici temelji se na angažmanima računalnog zločina kao usluge na Microsoft DCU poslovnoj e-pošti od 2019. do 2022. godine. Podaci na snimku predstavljaju prilagođene godišnje i prosječne dnevne pokušaje BEC napada koji su otkriveni i istraženi.

Ugrožavanje poslovne e-pošte Cyber Signals Sigurnost identiteta Krađa identiteta

Povezani članci

Uvidi Simeona Kakpovija, stručnjaka za iranske zlonamjerne aktere

Viši analitičar za obavještavanje o prijetnjama, Simeon Kakpovi, govori o obuci nove generacije kibernetičkih branitelja i prevladavanju velike upornosti iranskih zlonamjernih aktera.
Saznajte više

Jedinstveni sigurnosni rizik IoT/OT uređaja

U našem najnovijem izvješću istražujemo kako sve veća IoT/OT povezivost vodi do većih i ozbiljnijih ranjivosti koje organizirani računalni zlonamjerni akteri mogu iskoristiti.
Saznajte više

Anatomija moderne površine za napad

Za upravljanje sve složenijom površinom za napad tvrtke ili ustanove moraju razviti sveobuhvatno stanje sigurnosti. Sa šest ključnih površina za napad ovo izvješće pokazat će vam kako odgovarajuće obavještavanje o prijetnjama može pomoći u okretanju situacije u korist obrane.
Saznajte više

Pratite Microsoft Security