Trace Id is missing

Endring i taktikk står bak økning i kompromittert forretnings-e-post

Last ned
Del

Cyber Signals utgave 4: Tillitsspillet

Forretnings-e-postsvindel fortsetter å øke, og Federal Bureau of Investigation (FBI) rapporterer mer enn 21 000 klager med justerte tap over USD 2,7 milliarder. Microsoft har observert en økning i kompleksitet og taktikk av trusselaktører som spesialiserer seg i kompromittering av forretnings-e-post (BEC), inkludert utnytting av Internet Protocol-adresser for boliger for å få angrepskampanjene til å se ut som de er generert lokalt.

Denne nye taktikken hjelper kriminelle med å generere enda mer inntekt på cyberkriminalitet-som-en-tjeneste (CaaS) og har fanget oppmerksomheten til føderale rettsmyndigheter fordi den gir cyberkriminelle muligheten til å unngå «umulig reise»-varsler som brukes for å identifisere og blokkere uvanlige påloggingsforsøk og annen mistenkelig kontoaktivitet. 

Vi er alle med på å beskytte cybersikkerheten.
Microsofts avdeling for nettkriminalitet har sett en økning på 38 prosent i cyberkriminalitet-som-en-tjeneste som retter seg mot forretnings-e-post, mellom 2019 og 2022.

På innsiden av fremveksten av BulletProftLinks BEC-tjeneste på industriell skala

Cyberkriminalitetsaktivitet rundt kompromittering av forretnings-e-post er på vei oppover. Microsoft observerer en betydelig trend i angripernes bruk av plattformer, for eksempel BulletProftLink, en populær plattform for å lage skadelig e-postkampanjer på bransjeskala. BulletProftLink selger en ende-til-ende-tjeneste som omfatter maler, vertstjenester og automatiske tjenester for BEC. Motstandere som bruker denne CaaS, mottar legitimasjonen og IP-adressen til offeret.

BEC-trusselaktører kjøper deretter IP-adresser fra bolig-IP-tjenester som matcher offerets plassering, og lager bolig-IP-proxyer som gjør det mulig for cyberkriminelle å maskere opprinnelsen sin. Nå, rustet med et lokalisert adresseområde for å støtte de skadelige aktivitetene i tillegg til brukernavn og passord, kan BEC-angripere skjule bevegelser, omgå «umulig reise»-flagg, og åpne en gateway for å utføre ytterligere angrep. Microsoft har observert trusselaktører i Asia og en nasjon i Øst-Europa som oftest distribuerer denne taktikken.

Umulige reiser er en gjenkjenning som brukes for å indikere at en brukerkonto kan være kompromittert. Disse varslene flagger fysiske restriksjoner som indikerer at en oppgave utføres på to steder, uten nok tid til å reise fra ett sted til et annet.

Spesialiseringen og konsolideringen til denne sektoren av cyberkriminalitetsøkonomi kan eskalere bruken av bolig-IP-adresser for å unngå gjenkjenning. Bolig-IP-adresser som er tilordnet til steder i stor skala, gir cyberkriminelle mulighet til å samle store mengder kompromittert legitimasjon og få tilgang til kontoer. Trusselaktører bruker IP/proxy-tjenester som markedsførere og andre kan bruke til forskning for å skalere disse angrepene. Én IP-tjenesteleverandør har for eksempel, 100 millioner IP-adresser som kan roteres eller endres hvert sekund.

Mens trusselaktører bruker phishing-som-en-tjeneste, som Evil Proxy, Naked Pages og Caffeine for å distribuere phishing-kampanjer og skaffe kompromittert legitimasjon, tilbyr, BulletProftLink en desentralisert gatewayutforming, som omfatter offentlige Internet Computer blokkjedenoder for å drifte phishing- og BEC-nettsteder, noe som skaper et enda mer komplekst, desentralisert nettilbud som er mye vanskeligere å avbryte. Å distribuere disse nettstedenes infrastruktur på tvers av kompleksiteten og veksten i offentlige blokkjeder gjør det mer komplekst å identifisere dem og tilpasse handlinger for fjerning. Selv om du kan fjerne en phishing-kobling, forblir innholdet på nettet, og cyberkriminelle går tilbake for å lage en ny kobling til eksisterende CaaS-innhold.

BEC-angrep som lykkes koster organisasjoner flere hundre millioner dollar hvert år. I 2022 startet FBIs gjenopprettingsressursteam Financial Fraud Kill Chain på 2838 BEC-klager som involverte innenlandstransaksjoner,med potensielle tap på over USD 590 millioner.

Selv om de økonomiske konsekvensene er betydelige, kan større langsiktig skade omfatte identitetstyveri hvis personlig identifiserbar informasjon (PII) kompromitteres, eller tap av konfidensielle data hvis sensitiv korrespondanse eller immaterielle rettigheter eksponeres i skadelig e-post- og meldingstrafikk.

Phishing-e-post etter type

Sektordiagram som viser den prosentvise fordelingen av ulike typer phishing-e-post som brukes i angrep med kompromittering av forretnings-e-post. Lokking er den vanligste typen med 62,35 %, etterfulgt av Lønningsliste (14,87%), Faktura (8,29%), Gavekort (4,87%), Bedriftsinformasjon (4,4 %), og Andre (5,22 %).
Dataene representerer et øyeblikksbilde av BEC-phishing etter type fra januar 2023 og ut april 2023. Mer informasjon om dette bildet på side 4 i den fullstendige rapporten

De viktigste målene for BEC er direktører og andre overordnede ledere, økonomisjefer, ansatte i personaladministrasjon med tilgang til ansattregistre, som personnumre, trekkoppgaver eller annen PII. Nye ansatte som kanskje med mindre sannsynlighet kontrollerer ukjente e-postforespørsler, er også mål. Nesten alle former for BEC-angrep er på vei oppover. Topptrender for målrettet BEC omfatter lokking, lønningsliste, faktura, gavekort og bedriftsinformasjon.

BEC-angrep skiller seg ut i cyberkriminalitetsbransjen på grunn av vektleggingen på sosial manipulering og evnen til bedrageri. I stedet for å utnytte sårbarheter i ikke-oppdaterte enheter, prøver BEC-operatører å utnytte det daglige havet av e-posttrafikk og andre meldinger for å lure ofre til å oppgi økonomisk informasjon, eller handle direkte, slik som ubevisst å sende midler til pengemuldyrkonti, som hjelper kriminelle med å utføre uredelige pengeoverføringer

Til forskjell fra et «bråkete» løsepengevirusangrep med forstyrrende utpressingsmeldinger, spiller BEC-operatører et stille tillitsspill ved bruke konstruerte frister og hastverk for å stimulere mottakerne, som blir distrahert eller vant til slike hasteforespørsler. I stedet for ny skadelig programvare tilpasser BEC-motstandere taktikken for å fokusere på verktøy som forbedrer mengden, sannsynligheten og innbokssuksessraten til skadelige meldinger

Selv om det har vært flere høyprofilerte angrep som utnytter IP-adresser til boliger, deler Microsoft rettsmyndighetenes og andre organisasjoners bekymring om at denne trenden kan vokse raskt, noe som gjør det vanskelig i flere tilfeller, å oppdage aktivitet med tradisjonelle alarmer eller varsler.

Avvik i påloggingsplasseringer er ikke skadelig i seg selv. For eksempel: En bruker åpner kanskje bedriftsprogrammer med en bærbar datamaskin via lokal Wi-Fi, og logger på samme tid på de samme jobbappene på smarttelefonen via et mobilnettverk. Derfor kan organisasjoner skreddersy flaggingsterskler for umulig reise, basert på risikotoleranse. Den industrielle skalaen til lokaliserte IP-adresser for BEC-angrep skaper imidlertid ny risiko for virksomheter, etter hvert som adaptiv BEC og andre angripere i økende grad velger alternativet å rute skadelig e-post og annen aktivitet gjennom adresseområdet nær målene sine.

Anbefalinger:

  • Maksimer sikkerhetsinnstillinger som beskytter innboksen: Virksomheter kan konfigurere e-postsystemene til å flagge meldinger som sendes fra eksterne parter. Aktiver varsler for når avsender av e-post ikke er kontrollert. Blokker sendere med identiteter du ikke kan bekrefte på egenhånd, og rapporter e-posten deres som phishing eller søppelpost i e-apper.
  • Konfigurer sterk godkjenning: Gjør e-posten vanskeligere å kompromittere ved å slå på godkjenning med flere faktorer, som krever kode, PIN-kode eller fingeravtrykk for å logge på, i tillegg til passordet. MFA-aktiverte kontoer er mer motstandsdyktige mot risikoen for kompromittert legitimasjon og påloggingsforsøk med rå kraft, uavhengig av adresseområdet angriperne bruker.
  • Lær opp ansatte til å få øye på faresignaler: Lær opp ansatte til å få øye på uredelige og andre skadelige e-poster, slik som manglende samsvar mellom domene og e-postadresse, og risikoen og kostnaden knyttet til BEC-angrep som lykkes.

Å bekjempe kompromittering av forretnings-e-post krever årvåkenhet og bevissthet

Selv om trusselaktører har laget spesialiserte verktøy for å legge til rette for BEC, inkludert phishing-sett og lister over bekreftede e-postadresser rettet mot C-Suite-ledere, regnskapsansvarlige og andre spesifikke roller, kan virksomheter ta i bruk metoder for å forebygge angrep og redusere risiko.

For eksempel: En policy for domenebasert godkjenning, rapportering og samsvar for meldinger (DMARC) for «avvis » gir den sterkeste beskyttelsen mot forfalsket e-post, og sørger for at ikke-godkjente meldinger avvises på e-postserveren, selv før levering. I tillegg tilbyr DMARC-rapporter en mekanisme slik at en organisasjon blir gjort oppmerksom på kilden til en åpenbar forfalskning, informasjon som de ikke vanligvis ville fått.

Selv om organisasjoner er noen år inn i administrasjonen av en fullstendige eksterne eller hybride arbeidsstyrker, er det fremdeles nødvendig å tenke nytt rundt bevissthet rundt sikkerhet i en tidsalder for hybridarbeid. Siden ansatte jobber med flere leverandører og entreprenører, og dermed mottar flere «først sette» e-postmeldinger, er det viktig å være bevisst på hva disse endringene i arbeidsrytme og korrespondanse betyr for angrepsoverflaten.

Trusselaktørenes BEC-forsøk kan komme i mange former – blant annet telefonsamtaler, tekstmeldinger, e-post, eller meldinger på sosiale medier. Forfalskede godkjenningsforespørselsmeldinger og etterligning av enkeltpersoner og selskaper er også vanlige taktikker.

En god forsvarsfokusert begynnelse er å styrke policyer for regnskap, interne kontroller, lønningsliste, eller avdelinger for personaladministrasjon, om hvordan de skal svare når forespørsler eller varsler om endring vedrørende betalingsmåte, banktjenester eller overføringer mottas. Å ta et skritt tilbake når forespørsler på en mistenkelig måte ikke følger policyer, eller kontakte en forespørselsenhet gjennom det legitime nettstedet og representantene, kan spare organisasjoner for enorme tap.

BEC-angrep gir et godt eksempel på hvorfor cyberrisko må håndteres på en tverrfunksjonell måte, med direktører og ledere, økonomiansatte, ansvarlige for personaladministrasjon og andre med tilgang til ansattregistre, som personnumre, trekkoppgaver, kontaktinformasjon og tidsplaner, på bordet sammen med IT-, samsvars- og cyberrisikoansvarlige.

Anbefalinger:

  • Bruk en sikker e-postløsning: Dagens e-post-skyplattformer bruker kunstig intelligens-funksjoner som maskinlæring, for å forsterke forsvaret, tilføre avansert phishing-beskyttelse og oppdaging av mistenkelig videresending. Skyapper for e-post og produktivitet tilbyr også fordelene ved kontinuerlige, automatiske programvareoppdateringer og sentralisert administrasjon av sikkerhetspolicyer.
  • Sikre identiteter for å forby lateral bevegelse: Beskyttelse av identiteter er hovedgrunnlaget for å bekjempe BEC. Kontroller tilgang til apper og data med nulltillit og automatisert identitetsstyring.
  • Ta i bruk en sikker betalingsplattform: Vurder å bytte fra e-postfakturaer til et system som er spesielt utformet for godkjenning av betalinger.
  • Sett på pause og bruk en telefonsamtale for å bekrefte økonomiske transaksjoner: En rask telefonsamtale for å bekrefte at noe er legitimt, er verdt å bruke tid på, i stedet for å anta med et raskt svar eller klikk, som kan føre til tyveri. Etabler policyer og forventninger som minner ansatte på at det er viktig å kontakte organisasjoner eller enkeltpersoner direkte og ikke bruke informasjonen som er oppgitt i mistenkelige meldinger – for å dobbeltsjekke økonomiske og andre forespørsler.

Få mer informasjon om BEC og iranske trusselaktører med innsikt fra Simeon Kakpovi, senior trusselinformasjonanalytiker.

Øyeblikksbildedataene representerer gjennomsnittlige og daglige BEC-forsøk som er oppdaget og undersøkt av Microsoft trusselinformasjon mellom april 2022 og april 2023. Fjerning av unike phishing-nettadresser som styres av Microsofts avdeling for nettkriminalitet er mellom mai 2022 og april 20231.

  • 35 millioner per år
  • 156 000 per dag
  • 417 678 phishing-nettadresser er fjernet
  1. [1]

    Metode: Når det gjelder øyeblikksbildedata, leverte Microsoft-plattformer inkludert Microsoft Defender for Office, Microsoft trusselinformasjon, og Microsofts avdeling for nettkriminalitet (DCU) anonymiserte data om enhetssårbarheter og data om trusselaktøraktivitet og trender. I tillegg brukte forskere data fra offentlige kilder, slik som Federal Bureau of Investigation (FBI) Internet Crime Report fra 2022 og Cybersecurity & Infrastructure Security Agency (CISA). Forsidestatistikken er basert på Microsofts avdeling for nettkriminalitets arbeid med cyberkriminalitet-som-en-tjeneste som retter seg mot forretnings-e-post, fra 2019 og ut 2022. Øyeblikksbildedataene representerer justerte årlige og gjennomsnittlige daglige BEC-forsøk som er oppdaget og undersøkt.

Kompromittering av forretnings-e-post Cyber Signals Sikkerhet for identitet Phishing

Relaterte artikler

Innsikt fra den iranske trusselaktøreksperten Simeon Kakpovi

Senior trusselinformasjonanalytiker, Simeon Kakpovi, snakker om å lære opp den neste generasjonen cyberforsvarere og å overkomme den rene og skjære målbevisstheten til iranske trusselaktører.
Mer informasjon

Den unike sikkerhetsrisikoen til IoT-/OT-enheter

I den nyeste rapporten utforsker vi hvordan økt ioT/OT-tilkobling fører til større og mer alvorlige sårbarheter som organiserte trusselaktører kan utnytte.
Mer informasjon

Oppbygningen av en moderne angrepsoverflate

For å administrere en stadig mer kompleks angrepsoverflate må organisasjoner utvikle en omfattende sikkerhetsstatus. Med seks viktige overflateområder for angrep viser denne rapporten hvordan riktig trusselinformasjon kan snu spillereglene i beskytternes favør.
Mer informasjon

Følg Microsoft Sikkerhet