Trace Id is missing

Tacticile în schimbare alimentează creșterea numărului de cazuri de compromitere a e-mailurilor de business

Descărcați
Distribuiți

Semnale cibernetice, nr. 4: Jocul încrederii

Frauda e-mailului de business continuă să crească, Federal Bureau of Investigation (FBI) raportând peste 21.000 de plângeri cu pierderi ajustate de peste 2,7 miliarde USD. Microsoft a observat o creștere a sofisticării și a tacticilor actorilor de amenințare specializați în compromiterea e-mailului de business (BEC), inclusiv utilizarea adreselor IP rezidențiale pentru a face campaniile de atac să pară generate local.

Această nouă tactică ajută infractorii să monetizeze și mai mult Infracțiunea cibernetică ca serviciu (CaaS) și a atras atenția forțelor de ordine federale întrucât le permite infractorilor cibernetici să evite avertizările de „călătorie imposibilă” utilizate pentru a identifica și a bloca încercările de conectare anormale și alte activități suspecte ale contului.

Cu toții suntem apărători ai securității cibernetice.
Unitatea pentru infracțiuni cibernetice a Microsoft a observat o creștere de 38% a infracțiunilor cibernetice ca serviciu ce vizează e-mailul de business între 2019 și 2022.

În interiorul creșterii serviciului BEC la scară industrială a BulletProftLink

Activitatea infractorilor cibernetici în materie de compromitere a e-mailului de business accelerează. Microsoft observă o tendință semnificativă în utilizarea de către atacatori a platformelor, cum este BulletProftLink, o platformă populară pentru crearea de campanii prin mail rău intenționate la scară industrială. BulletProftLink vinde un serviciu cap-coadă ce include șabloane, găzduire și servicii automatizate pentru BEC. Dușmanii care folosesc acest CaaS primesc informațiile de conectare și adresa IP a victimei.

Actorii de amenințare BEC achiziționează apoi adrese IP de la servicii IP rezidențiale care se potrivesc cu locația victimei, creând proxy-uri IP rezidențiale ce permit infractorilor cibernetici să-și mascheze originea. Acum, înarmați cu spațiul de adresă localizat pentru a le susține activitățile rău intenționate, pe lângă nume de utilizator și parole, atacatorii BEC își pot camufla mișcările, evită semnalarea de „călătorie imposibilă” și deschid o poartă pentru a desfășura mai multe atacuri. Microsoft a observat că această tactică este folosită cel mai des de actori de amenințare din Asia și o țară est-europeană.

Călătoria imposibilă este o detectare folosită pentru a indica faptul că ar putea fi compromis contului unui utilizator. Aceste avertizări semnalează restricții fizice care indică faptul că o activitate este realizată în două locații, fără să existe suficient timp pentru a călători dintr-o locație în alta.

Specializarea și consolidarea acestui sector al economiei infracțiunilor cibernetice ar putea amplifica utilizarea adreselor IP rezidențiale pentru a evita detectarea. Adresele IP rezidențiale mapate la locații la scară largă oferă capacitatea și oportunitatea ca infractorii cibernetici să adune un volum mare de informații de conectare compromise și să acceseze conturile. Pentru a scala aceste atacuri, actorii de amenințare folosesc servicii IP/proxy pe care oamenii de marketing și alții le-ar putea folosi pentru cercetare. De exemplu, un furnizor de servicii IP are 100 de milioane de adrese IP care pot fi rotite sau schimbate în fiecare secundă.

În timp ce actorii de amenințare folosesc phishing ca serviciu precum Evil Proxy, Naked Pages și Caffeine pentru a implementa campanii de phishing și a obține informații de conectare compromise, BulletProftLink oferă un design de gateway descentralizat, care include noduri de blockchain Computer Internet publice pentru a găzdui site-uri BEC și de phishing, creând o ofertă web descentralizată și mai sofisticată, mult mai greu de întrerupt. Distribuirea infrastructurii acestor site-uri pe blockchain-uri publice complexe și în continuă creștere face mai dificile identificarea acestora și alinierea acțiunilor de eliminare. Deși puteți elimina un link de phishing, conținutul rămâne online, iar infractorii cibernetici revin pentru a crea un nou link către conținutul CaaS existent.

Atacurile BEC reușite costă organizațiile sute de milioane de dolari anual. În 2022, echipa de recuperare a activelor FBI a inițiat Lanțul de atac al fraudelor financiare pe 2.838 de plângeri BEC ce implicau tranzacții domestice cu pierderi potențiale de peste 590 de milioane USD.

Deși implicațiile financiare sunt semnificative, daunele extinse pe termen lung includ furtul de identitate, în cazul compromiterii datelor cu caracter personal (PII), sau pierderea datelor confidențiale, atunci când se expun corespondența sensibilă sau proprietatea intelectuală în traficul de mesaje și e-mailuri rău intenționat.

E-mail de phishing după tip

Diagramă cu structură radială care afișează procentajul fiecărui tip de e-mail de phishing folosit în atacurile de compromitere a e-mailului de business. Momeala este cel mai comun tip, cu 62,35%, urmat de Salarizare (14,87%), Facturi (8,29%), Card cadou (4,87%), Informații de business (4,4%) și Altele (5,22%).
Datele reprezintă un instantaneu al phishing-ului BEC după tip, din ianuarie 2023 până în aprilie 2023. Aflați mai multe despre această imagine la pagina 4 din raportul complet

Țintele principale pentru BEC sunt directorii executivi și alți lideri seniori, directorii financiari și angajații din departamentul de Resurse umane, care au acces la dosarele angajaților și date cu caracter personal cum ar fi CNP-ul, declarațiile fiscale și alte informații personale. Sunt vizați și angajații noi, în cazul în care ar fi mai puțin probabil să verifice solicitările nefamiliare prin e-mail. Aproape toate formele de atacuri BEC sunt în creștere. Principalele tendințe pentru BEC vizate sunt momeala, salarizarea, facturile, cardurile cadou și informațiile de business.

Atacurile BEC se diferențiază în industria infracțiunilor cibernetice prin accentul pe care-l pun pe ingineria socială și arta înșelăciunii. În loc să exploateze vulnerabilitățile unor dispozitive fără corecții aplicate, operatorii BEC caută să exploateze oceanul zilnic de e-mailuri și alte mesaje, pentru a păcăli victimele să ofere informații financiare sau să acționeze direct, de exemplu, să trimită fonduri către conturi-cărăuș, ceea ce ajută infractorii să efectueze transferuri frauduloase de bani

Spre deosebire de un atac ransomware „zgomotos” cu mesaje de șantaj disruptive, operatorii BEC joacă un joc silențios al încrederii, folosind termene limită născocite și senzația de urgență, pentru a impulsiona destinatarii, care ar putea fi distrați sau obișnuiți cu aceste tipuri de solicitări urgente. În loc de malware inovator, dușmanii BEC își aliniază tacticile pentru a se concentra pe instrumentele care cresc scara, plauzibilitatea și rata de succes în folderul Inbox a mesajelor rău intenționate

Deși au existat mai multe atacuri la nivel înalt care au făcut uz de adresele IP rezidențiale, Microsoft împărtășește îngrijorarea forțelor de ordine și a altor organizații că această tendință poate fi scalată rapid, ceea ce face mai dificilă detectarea activității cu notificări și avertizări tradiționale, într-un număr mai mare de cazuri.

Variația locațiilor de conectare nu este în sine rău intenționată. De exemplu, un utilizator poate accesa aplicații de business cu un laptop prin Wi-Fi local și, simultan, poate fi conectat la aceleași aplicații de serviciu pe telefonul mobil printr-o rețea celulară. Din acest motiv, organizațiile pot ajusta praguri de semnalizare a călătoriilor imposibile pe baza toleranței la risc. Totuși, scara industrială a adreselor IP localizate pentru atacuri BEC creează noi riscuri pentru întreprinderi, întrucât BEC adaptabil și alți atacatori optează din ce în ce mai mult pentru rutarea e-mailurilor rău intenționate și a altor activități prin spațiul de adresă din preajma țintelor.

Recomandări:

  • Maximizați setările de securitate care vă protejează folderul Inbox: Întreprinderile își pot configura sistemele de e-mail pentru a semnaliza mesajele trimise din exterior. Activați notificări atunci când expeditorii e-mailurilor nu sunt verificați. Blocați expeditorii cu identități pe care nu le puteți confirma în mod independent și raportați-le e-mailurile ca phishing sau corespondență nedorită în aplicațiile de e-mail.
  • Configurați o autentificare puternică: Faceți e-mailul mai greu de compromis activând autentificarea multifactor, care necesită un cod, un cod PIN sau o amprentă pentru a vă conecta, precum și parola. Conturile cu autentificare multifactor activată sunt mai rezistente la riscul informațiilor de conectare compromise și la încercările de conectare prin forță brută, indiferent de spațiul de adresă folosit de atacatori.
  • Instruiți angajații să detecteze semnalele de alarmă: Educați angajații să detecteze fraudele și alte e-mailuri rău intenționate, de exemplu, prin nepotrivirea dintre domeniu și adresa de e-mail, și prezentați-le riscul și costul asociate atacurilor BEC reușite.

Lupta împotriva compromiterii e-mailului de business necesită vigilență și conștientizare

Deși actorii de amenințare au creat instrumente specializate pentru a facilita BEC, inclusiv kituri de phishing și liste de adrese de e-mail verificate ce vizează liderii executivi, responsabilii cu plata facturilor și alte roluri anume, întreprinderile pot folosi metode de anticipare a atacurilor și de reducere a riscului.

De exemplu, o politică de autentificare, raportare și conformitate mesaj pe baza domeniului (DMARC) de „respingere” oferă cea mai mare protecție împotriva e-mailurilor clonate, asigurând respingerea mesajelor neautentificate la serverul de e-mail, chiar și înainte de livrare. În plus, rapoartele DMARC oferă un mecanism prin care organizației i se poate aduce la cunoștință sursa unei presupuse falsificări, informații pe care nu le-ar primi în mod normal.

Deși organizațiile gestionează de câțiva ani forța de muncă hibridă sau chiar complet la distanță, încă este nevoie de regândirea conștientizării în materie de securitate în epoca muncii hibride. Întrucât angajații lucrează cu mai mulți furnizori și colaboratori și astfel primesc mai multe e-mailuri „pentru prima dată”, este extrem de important să înțelegeți ce înseamnă aceste modificări ale ritmului de lucru și ale corespondenței pentru suprafața dvs. de atac.

Încercările BEC ale actorilor de amenințare pot lua multe forme, inclusiv apeluri telefonice, SMS-uri, e-mailuri sau mesaje pe rețelele de socializare. Clonarea mesajelor de solicitare a autentificării și asumarea identității altor persoane și companii sunt și ele tactici comune.

Un prim pas defensiv bun îl constituie întărirea politicilor pentru departamentele de contabilitate, controale interne, salarizare și resurse umane, despre cum să se răspundă atunci când se primesc solicitări sau notificări de schimbare a instrumentelor de plată, a datelor bancare sau a transferurilor bancare. Făcând un pas în spate pentru a marginaliza solicitările suspecte care nu urmează politicile, sau contactând entitatea solicitantă prin canalul și reprezentanții legitimi, organizațiile se pot feri de pierderi colosale.

Atacurile BEC oferă un exemplu grozav pentru care riscul cibernetic trebuie adresat la nivel interdepartamental, punând directorii executivi și alți lideri, angajații din departamentul financiar, directorii de resurse umane și alte persoane care au acces la dosarele angajaților, cum ar fi CNP-ul, declarațiile fiscale, informațiile de contact și programul de lucru, la aceeași masă cu departamentele IT, de conformitate și ofițerii de risc cibernetic.

Recomandări:

  • Folosiți o soluție de e-mail securizată: Platformele cloud de e-mail din ziua de astăzi folosesc capacități de inteligență artificială, cum ar fi învățarea programată, pentru a îmbunătăți apărarea, adăugând protecție avansată împotriva phishing-ului și detectarea redirecționărilor suspecte. De asemenea, aplicațiile cloud pentru e-mail și productivitate oferă avantajele actualizărilor software automate și continue și gestionarea centralizată a politicilor de securitate.
  • Securizați identitățile pentru a împiedica mișcarea laterală: Protejarea identităților este un pilon cheie în combaterea BEC. Controlați accesul la aplicații și date cu Zero Trust și guvernarea automată a identităților.
  • Adoptați o platformă de plăți securizată: Luați în considerare trecerea de la facturile plătite prin e-mail la un sistem proiectat special pentru autentificarea plăților.
  • Puneți pauză și folosiți un apel telefonic pentru a verifica tranzacțiile financiare: Merită să alocați timp pentru o conversație telefonică rapidă pentru a confirma ceva legitim decât să presupuneți că e în regulă și să oferiți un răspuns rapid sau să faceți clic, după care să se ajungă la furt. Stabiliți politici și așteptări care le amintesc angajaților că este important să contacteze direct organizațiile sau persoanele și să nu folosească informațiile oferite în mesaje suspecte, pentru a verifica solicitările financiare sau de altă natură.

Aflați mai multe despre BEC și actorii de amenințare iranieni cu ajutorul detaliilor de la Simeon Kakpovi, Analist senior în investigarea amenințărilor.

Datele instantaneului reprezintă media încercărilor BEC anuale și zilnice, detectate și investigate de Investigarea amenințărilor Microsoft între aprilie 2022 și aprilie 2023. Eliminările URL-urilor unice de phishing de către Unitatea pentru infracțiuni digitale a Microsoft sunt între luna mai 2022 și aprilie 20231.

  • 35 de milioane anual
  • 156.000 zilnic
  • 417.678 de eliminări ale URL-urilor de phishing
  1. [1]

    Metodologie: Pentru datele instantaneului, platformele Microsoft, inclusiv Microsoft Defender pentru Office, Investigarea amenințărilor Microsoft și Unitatea pentru infracțiuni digitale a Microsoft (DCU), au oferit date anonimizate despre vulnerabilitățile dispozitivelor și date despre tendințele și activitățile actorilor de amenințare. În plus, cercetătorii au folosit date din surse publice, cum ar fi raportul Federal Bureau of Investigation (FBI) din 2022 despre infracțiunile pe internet și Cybersecurity & Infrastructure Security Agency (CISA). Statistica de pe copertă se bazează pe implicarea CaaS în e-mailul de business conform Microsoft DCU, din 2019 până în 2022. Datele instantaneului reprezintă încercările BEC zilnice în medie și ajustate anual, care au fost detectate și investigate.

Compromiterea e-mailului de business Semnale cibernetice Securitatea identității Phishing

Articole asociate

Detalii de la expertul în actori de amenințare iranieni Simeon Kakpovi

Analistul senior în investigarea amenințărilor Simeon Kakpovi vorbește despre instruirea următoarei generații de apărători cibernetici și învingerea tenacității extreme a actorilor de amenințare iranieni.
Aflați mai multe

Riscul de securitate unic al dispozitivelor IoT/OT

În cel mai recent raport, explorăm cum creșterea conectivității IoT/OT duce la vulnerabilități mai mari și mai grave pe care actorii de amenințare cibernetică organizați le pot exploata.
Aflați mai multe

Anatomia unei suprafețe de atac moderne

Pentru a gestiona o suprafață de atac din ce în ce mai complexă, organizațiile trebuie să-și dezvolte o postură de securitate cuprinzătoare. Având în vedere șase suprafețe de atac esențiale, acest raport vă va arăta modul în care o investigare a amenințărilor adecvată poate contribui la echilibrarea situației în favoarea apărătorilor.
Aflați mai multe

Urmăriți Microsoft Security