Trace Id is missing

Változó taktikák táplálják az üzleti levelezéssel kapcsolatos csalások hullámát

Cyber Signals, 4. szám: A megbízhatósági játszma

Az üzleti levelezéssel kapcsolatos csalások egyre gyakoribbá válnak: a Szövetségi Nyomozóiroda (FBI) több mint 21 000 panaszt jelentett, és az ezekkel kapcsolatban felmerült kiigazított veszteségek meghaladják a 2,7 milliárd USD-t. A Microsoft azt figyelte meg, hogy az üzleti levelezéssel kapcsolatos csalásokra szakosodott fenyegető szereplők egyre kifinomultabb módszereket és taktikákat alkalmaznak, egyebek között lakossági IP-címeket használnak, hogy úgy tűnjön, mintha a támadási kampányok helyi eredetűek lennének.

Ez az új taktika segíti a bűnözőket abban, hogy további bevételszerzésre használják a szolgáltatásként nyújtott kiberbűnözést (CaaS), és azért keltette fel a szövetségi bűnüldöző hatóságok figyelmét, mert lehetővé teszi a kiberbűnözők számára, hogy elkerüljék a „lehetetlen utazásra” vonatkozó riasztásokat, amelyek a rendellenes bejelentkezési kísérletek és a fiókokkal kapcsolatos egyéb gyanús tevékenységek azonosítására és letiltására szolgálnak.

A kiberbiztonság védelme közös feladatunk.
A Microsoft digitális bűncselekményekkel foglalkozó részlege 2019 és 2022 között 38%-os növekedést figyelt meg az üzleti levelezést célzó, szolgáltatásként nyújtott kiberbűnözés terén.

Mi áll a BulletProftLink ipari léptékű, üzleti levelezéssel kapcsolatos csalási szolgáltatásának felemelkedése mögött?

Az üzleti levelezéssel kapcsolatos csalásokkal összefüggő kiberbűnözői tevékenység egyre fokozódik. A Microsoft jelentősen emelkedő trendet figyelt meg a platformok támadók általi használatában, e platformok egyike a BulletProftLink, amely igen népszerű ipari léptékű, kártevő levelek küldésére szolgáló kampányok létrehozásához. A BulletProftLink teljes körű szolgáltatást nyújt, amely az üzleti levelezéssel kapcsolatos csalásokhoz használható sablonokat, üzemeltetést és automatizált szolgáltatásokat is tartalmaz. Az ezt a kiberbűnözési szolgáltatást használó ellenségek hitelesítő adatokhoz juthatnak, és megkapják az áldozat IP-címét.

Az üzleti levelezéssel kapcsolatos csalásokra szakosodott fenyegető szereplők ezután az áldozat földrajzi helyének megfelelő IP-címeket vásárolnak lakossági IP-szolgáltatásoktól, így olyan lakossági IP-proxykat hozhatnak létre, amelyekkel elfedhetik a tevékenységeik eredetét. Miután a felhasználónevek és jelszavak mellett felszerelkeztek a kártékony tevékenységeiket támogató helyi címtartománnyal, az üzleti levelezést támadók elfedhetik a mozgásukat, megkerülhetik a „lehetetlen utazásra” vonatkozó jelzéseket, és átjárót nyithatnak további támadásokhoz. A Microsoft azt figyelte meg, hogy a leggyakrabban ázsiai és egy kelet-európai országbeli fenyegető szereplők alkalmazzák ezt a taktikát.

A „lehetetlen utazás” egy olyan észlelési technika, amellyel jelezhető, hogy egy felhasználói fiókot esetleg feltörtek. Ezek a riasztások olyan fizikai korlátokat jeleznek, amelyek arra utalnak, hogy két helyen végeznek el valamilyen feladatot, de nincs elegendő idő a két hely közötti utazásra.

kiberbűnözési gazdaság e szektorának specializálódása és konszolidációja ahhoz vezethet, hogy egyre többször használnak lakossági IP-címeket az észlelés elkerüléséhez. A nagy tételben elérhető, földrajzi helyeknek megfeleltetett lakossági IP-címek lehetővé teszik a kiberbűnözők számára, hogy nagy mennyiségű feltört hitelesítő adatot szerezzenek, és hozzáférjenek fiókokhoz. A fenyegető szereplők olyan IP- és proxyszolgáltatásokat használnak a támadásaik kiterjesztéséhez, mint amilyeneket a marketingesek és mások kutatásokhoz használhatnak. Egy IP-szolgáltató például 100 millió IP-címmel rendelkezik, amelyek másodpercenként váltogathatók vagy cserélhetők.

Míg a fenyegető szereplők szolgáltatásként nyújtott adathalászati rendszerek – például az Evil Proxy, a Naked Pages és a Caffeine – használatával lebonyolíthatnak adathalászati kampányokat, és feltört hitelesítő adatokat szerezhetnek, a BulletProftLink egy decentralizált átjárót kínál, amely internetes számítógépes nyilvános blokklánccsomópontokat is tartalmaz adathalászatra és üzleti levelezéssel kapcsolatos csalásokra szolgáló webhelyek üzemeltetéséhez, ezzel még kifinomultabb decentralizált webes ajánlatot tesz az asztalra, amelynek sokkal nehezebb megszakítani a működését. Azáltal, hogy elosztják az ilyen webhelyek infrastruktúráját a nyilvános blokkláncok összetett és egyre bővülő rendszerében, összetettebbé válik az azonosításuk és a felszámolásukra szolgáló megfelelő intézkedések kialakítása. Egy adathalász célú hivatkozás eltávolítható ugyan, de a tartalom online elérhető marad, és a kiberbűnözők visszatérhetnek, hogy létrehozzanak egy új, a szolgáltatásként nyújtott kiberbűnözési tartalomra mutató hivatkozást.

Az üzleti levelezéssel kapcsolatos csalásokra irányuló sikeres támadások évente több száz millió dollárba kerülnek a különböző szervezeteknek. 2022-ben az FBI Recovery Asset csapata elindította az üzleti csalások felszámolására irányuló műveletét (Financial Fraud Kill Chain) 2838 üzleti levelezéssel kapcsolatos csalásra vonatkozó panasz nyomán, amelyekben potenciálisan több mint 590 millió USD veszteséget okozó belföldi tranzakció volt érintett.

Bár a pénzügyi következmények is jelentősek, a szélesebb körű, hosszú távú károk közé tartozhat az identitáslopás is, ha személyazonosításra alkalmas adatokat is feltörnek, illetve a bizalmas adatok elvesztése, ha bizalmas levelezéseket vagy szellemi tulajdont hoznak nyilvánosságra rosszindulatú e-mail- vagy üzenetforgalomban.

Adathalász e-mailek típus szerint

A tortadiagram az üzleti levelezéssel kapcsolatos csalási támadásokhoz használt különböző típusú adathalász e-mailek százalékos bontását mutatja. A leggyakoribb típus a csali 62,35%-kal, ezt követi a bérlista (14,87%), a számla (8,29%), az ajándékkártya (4,87%), az üzleti információ (4,4%) és a többi típus (5,22%).
Az adatok az üzleti levelezéssel kapcsolatos csalásokhoz használt adathalászat pillanatképét mutatják típus szerint, 2023. január és 2023. április között. A teljes jelentés 4. oldalán további információt olvashat erről a képről.

Az üzleti levelezéssel kapcsolatos csalások kiemelt célpontjai a cégvezetők és egyéb felső vezetők, pénzügyi vezetők, valamint a HR-es munkatársak, akik hozzáférhetnek az alkalmazottak nyilvántartásához, például TAJ számokhoz, adóbevallásokhoz és egyéb, személyazonosításra alkalmas adatokhoz. Gyakran megcélozzák az új alkalmazottakat is, akik esetleg kevésbé ellenőrzik az ismeretlen feladótól e-mailben érkező kéréseket. Az üzleti levelezéssel kapcsolatos csalásokra irányuló támadások szinte minden formája egyre gyakoribb. Az üzleti levelezéssel kapcsolatos célzott csalások legnépszerűbb formái közé tartozik a csali, a bérlista, a számla, az ajándékkártya és az üzleti információ.

Az üzleti levelezéssel kapcsolatos csalásokra irányuló támadások kiemelkednek a kiberbűncselekmények közül, mert különösen nagy hangsúlyt fektetnek a pszichológiai manipulációra és a művészi szintre emelt megtévesztésre. Ahelyett, hogy a nem javított eszközök sebezhetőségeit használnák ki, az üzleti levelezéssel kapcsolatos csalások elkövetői az e-mailek és egyéb üzenetek napi áradatát próbálják kihasználni, hogy rávegyék az áldozatokat pénzügyi adatok megadására vagy valamilyen közvetlen művelet elvégzésére, például arra, hogy tudtukon kívül pénzt küldjenek „pénzöszvérek” számláira, amelyek segítségével a bűnözők tisztességtelen pénzátutalásokat végezhetnek.

Az üzletmenet megszakításával fenyegető, zsaroló üzenetekkel járó, nagy visszhangot keltő zsarolóprogramos támadásoktól eltérően az üzleti levelezéssel kapcsolatos csalások elkövetői csendes megbízhatósági játékot űznek, kitalált határidőkkel és sürgető felszólításokkal próbálják cselekvésre ösztönözni a címzetteket, akik esetleg meg lehetnek zavarodva, vagy hozzá vannak szokva az ilyen típusú sürgős kérésekhez. Az üzleti levelezéssel kapcsolatos csalások során a támadók nem újszerű kártevő szoftverekre támaszkodnak, hanem olyan eszközökhöz igazítják a taktikájukat, amelyek növelik a rosszindulatú üzenetek mennyiségét, hihetőségét és a beérkezett üzenetek mappájába való sikeres kézbesítésének esélyét.

Bár már eddig is több, nagy horderejű támadás épült a lakossági IP-címek kihasználására, a Microsoft osztja a bűnüldöző hatóságok és egyéb szervezetek aggodalmát, hogy ez a trend gyorsan emelkedhet, ami több esetben is megnehezítheti a tevékenységek hagyományos riasztásokkal vagy értesítésekkel való észlelését.

A bejelentkezések helyének változása önmagában nem jelent rosszindulatú tevékenységet. Egy felhasználó például hozzáférhet üzleti alkalmazásokhoz egy laptop használatával helyi Wi-Fi-n keresztül, miközben be lehet jelentkezve ugyanazokba a munkahelyi alkalmazásokba az okostelefonján mobilhálózaton keresztül. Ezért a szervezetek a kockázattűrésüktől függően testre szabhatják a lehetetlen utazásra vonatkozó jelzés küszöbértékeit. Az üzleti levelezéssel kapcsolatos csalásokra irányuló támadásokhoz használható, ipari léptékben elérhető helyi IP-címek azonban új kockázatokat jelentenek a vállalatok számára, mert az üzleti levelezéssel kapcsolatos adaptív csalások elkövetői és más támadók egyre gyakrabban folyamodnak ahhoz, hogy a célpontjaikhoz közeli címtartományokon keresztül juttatják célba rosszindulatú üzeneteiket és végzik egyéb tevékenységeiket.

Javaslatok:

  • Állítsa maximális erősségűre a beérkezett üzenetek mappáját védő biztonsági beállításokat: A vállalatok konfigurálhatják a levelezőrendszereiket úgy, hogy azok jelezzék a külső felek által küldött üzeneteket. Engedélyezze az olyan esetekre vonatkozó értesítéseket, amikor az e-mailek küldője nem ellenőrzött. Tiltsa le azokat a küldőket, akiknek az identitását nem tudja független módon megerősíteni, és jelentse be az általuk küldött e-maileket adathalászatként vagy levélszemétként a levelezőalkalmazásokban.
  • Állítson be erős hitelesítést: Megnehezítheti a levelezés feltörését, ha bekapcsolja a többtényezős hitelesítést, amelyhez a jelszó mellett egy kód, PIN-kód vagy ujjlenyomat is szükséges. A többtényezős hitelesítés használatára beállított fiókok ellenállóbbak a feltört hitelesítő adatokra és a találgatásra épülő bejelentkezési kísérletekkel szemben, a támadók által használt címtartománytól függetlenül.
  • Képezze ki az alkalmazottakat a figyelmeztető jelek felismerésére: Oktassa az alkalmazottakat, hogy felismerjék a csaló és egyéb rosszindulatú e-maileket, például a tartomány és az e-mail-címek eltérése alapján, és hogy tisztában legyenek az üzleti levelezéssel kapcsolatos csalásokra irányuló sikeres támadások költségeivel és kockázataival.

Az üzleti levelezéssel kapcsolatos csalások elleni küzdelem éberséget és odafigyelést kíván

Bár a fenyegető szereplők specializált eszközöket alkottak az üzleti levelezéssel kapcsolatos csalások elősegítésére, egyebek között adathalászati csomagokat, valamint megerősített e-mail-címekből álló listákat, amelyekkel megcélozhatók a vállalatvezetők, kötelezettségek kifizetésére jogosult vezetők és egyéb meghatározott szerepkörök, a vállalatok alkalmazhatnak olyan módszereket, amelyekkel megelőzhetők a támadások, és csökkenthető a kockázat.

Például egy „elutasító” tartományalapú üzenethitelesítési, jelentési és megfelelőségi (DMARC) házirend a legerősebb védelmet jelenti a hamis e-mailekkel szemben, mert biztosítja, hogy a nem hitelesített üzenetek már a levelezési kiszolgálón, kézbesítés előtt el legyenek utasítva. Emellett a DMARC-jelentések egy olyan mechanizmust is biztosítanak, amellyel a szervezetek tudomást szerezhetnek a nyilvánvaló hamisítások forrásáról (szokásos esetben nem jutnának ilyen információhoz).

Bár a szervezetek már pár éve foglalkoznak a teljesen távoli vagy hibrid munkaerő kezelésével, a hibrid munkavégzés korában még mindig át kell gondolni a biztonsági tudatosság kérdését. Az alkalmazottak több beszállítóval és alvállalkozóval dolgoznak együtt, ezért több olyan e-mailt kapnak, amelyet ők látnak először, így létfontosságú tisztában lenniük azzal, hogy ezek a munkabeosztásuk és a levelezésük terén bekövetkező változások mit jelentenek a támadási felület szempontjából.

Az üzleti levelezéssel kapcsolatos csalásokra irányuló kísérletek számos formát ölthetnek, ideértve a telefonhívásokat, SMS-eket, e-maileket vagy közösségi médián keresztül küldött üzeneteket. A hitelesítést kérő üzenetek hamisítása, valamint a személyek és cégek megszemélyesítése szintén a gyakran alkalmazott taktikák közé tartozik.

Megfelelő kezdő lépés a védelem terén az, ha megerősítik a könyvelési, belső ellenőrzési, bérszámfejtési és HR-részlegekre vonatkozó azon házirendeket, amelyek szabályozzák, hogyan kell reagálni a fizetési eszközök, banki ügyintézés vagy átutalások változásaival kapcsolatban érkező kérésekre vagy értesítésekre. Ha az alkalmazottak egy pillanatra megállnak, és félreteszik a házirendeket gyanúsan nem követő kéréseket, vagy kapcsolatba lépnek egy kérést küldő entitással a hivatalos webhelyén vagy képviselőin keresztül, azzal elképesztő veszteségektől kímélhetik meg a szervezetüket.

Az üzleti levelezéssel kapcsolatos csalásokra irányuló támadások jól szemléltetik, hogy miért kell minden munkahelyi beosztásra kiterjedően foglalkozni a kiberbiztonsági kockázatokkal a cégvezetők, vezetők, pénzügyi alkalmazottak, HR-vezetők és egyéb olyan alkalmazottak bevonásával, akik hozzáférhetnek az alkalmazottak nyilvántartásához, például TAJ számokhoz, adóbevallásokhoz, kapcsolattartási adatokhoz és ütemtervekhez, és természetesen az informatikával, megfelelőséggel és kiberbiztonsági kockázatokkal foglalkozó vezetők részvételével.

Javaslatok:

  • Használjon biztonságos levelezési megoldást: Napjaink felhőalapú e-mail-platformjai mesterséges intelligenciára épülő képességeket, például gépi tanulást használnak a védelem fokozására, hogy biztosítsák az adathalászat elleni kifinomult védelmet és a gyanús továbbítás észlelését. A felhőalapú levelezési és irodai alkalmazások további előnyei közé tartozik a szoftverek folyamatos, automatikus frissítése és a biztonsági házirendek központosított kezelése.
  • Tegye biztonságossá az identitásokat az oldalirányú mozgás megakadályozásához: Az identitások védelme az üzleti levelezéssel kapcsolatos csalások elleni küzdelem egyik legfontosabb pillére. A Teljes felügyelet és az automatizált identitásszabályozás segítségével szabályozhatja az alkalmazásokhoz és adatokhoz való hozzáférést.
  • Vezessen be biztonságos fizetési platformot: Fontolja meg, hogy átvált az e-mailben küldött számlákról egy kifejezetten a fizetések hitelesítésére tervezett rendszerre.
  • Álljon meg egy pillanatra, és egy telefonhívással ellenőrizze a pénzügyi tranzakciókat: Nyugodtan szánjon időt arra, hogy egy gyors telefonhívással meggyőződik valaminek a jogszerűségéről, ne tételezze fel ezt automatikusan egy gyors válasszal vagy kattintással, amely lopáshoz vezethet. Alakítson ki olyan házirendeket és elvárásokat, amelyek emlékeztetik az alkalmazottakat arra, hogy fontos közvetlenül kapcsolatba lépni a szervezetekkel vagy egyénekkel – nem a gyanús üzenetekben szereplő információra támaszkodva – a pénzügyi és egyéb kérések alapos ellenőrzése érdekében.

További információt olvashat az üzleti levelezéssel kapcsolatos csalásokról és az iráni fenyegető szereplőkről, kiegészítve Simeon Kakpovi vezető intelligens veszélyforrás-felderítési elemző megállapításaival.

A pillanatkép adatai a Microsoft Veszélyforrás-intelligencia által 2022. április és 2023. április között észlelt és kivizsgált, üzleti levelezéssel kapcsolatos csalásokra irányuló kísérletek átlagos éves és napi számát mutatják. A felszámolt egyedi adathalász URL-címek elleni, a Microsoft digitális bűncselekményekkel foglalkozó részlege által vezetett intézkedések 2022. május és 20231. április között1.

  • 35 millió évente
  • 156 000 naponta
  • 417 678 felszámolt adathalász URL-cím
  1. [1]

    Módszertan: A pillanatkép adataihoz a Microsoft platformjai, egyebek között az Office-hoz készült Microsoft Defender, a Microsoft Veszélyforrás-intelligencia, valamint a Microsoft digitális bűncselekményekkel foglalkozó részlege (Digital Crimes Unit – DCU) biztosították az eszközök sebezhetőségeire vonatkozó anonimizált adatokat és a fenyegető szereplők tevékenységeire és trendjeire vonatkozó adatokat. Emellett a kutatók nyilvános forrásokból származó adatokat is felhasználtak, többek között a Szövetségi Nyomozóiroda (FBI) internetes bűnözésről készült 2022-es jelentésének (Internet Crime Report) adatait és a Kiberbiztonsági és Infrastruktúra-biztonsági Hivatal (Cybersecurity & Infrastructure Security Agency – CISA) adatait. A címlapon látható statisztika a Microsoft DCU üzleti levelezéssel kapcsolatos, szolgáltatásként nyújtott kiberbűnözésre vonatkozó intézkedéseinek számát mutatja 2019 és 2022 között. A pillanatkép adatai az észlelt és kivizsgált, üzleti levelezéssel kapcsolatos csalásokra irányuló kísérletek kiigazított éves és átlagos napi számát mutatják.

Kapcsolódó cikkek

Simeon Kakpovi, az iráni fenyegető szereplők szakértőjének megállapításai

Simeon Kakpovi vezető intelligens veszélyforrás-felderítési elemző a kibervédők következő generációjának kiképzéséről és az iráni fenyegető szereplők állhatatosságának leküzdéséről beszél.

Az IoT-/OT-eszközök egyedi biztonsági kockázata

Legújabb jelentésünkben azt vizsgáljuk, hogy az IoT-/OT-kapcsolatok számának növekedése hogyan vezet oda, hogy a szervezett, kiberfenyegetést jelentő szereplők nagyobb és súlyosabb biztonsági réseket tudnak kihasználni.

A modern támadási felületek anatómiája

Az egyre összetettebb támadási felületek kezeléséhez a cégeknek átfogó biztonsági intézkedéseket kell kidolgozniuk. Ez a jelentés hat kulcsfontosságú támadási felületet vizsgálva ismerteti, hogy a megfelelő intelligens veszélyforrás-felderítés hogyan segíthet a védekezőknek előnyt szerezni.

A Microsoft Biztonság követése