Trace Id is missing

Nya tillvägagångssätt ger upphov till ett ökat antal e-postintrång hos företag

Cyber Signals, utgåva 4: Bondfångarspelet

E-postbedrägerier som drabbar företag fortsätter att öka, och FBI rapporterar att det kommit in mer än 21 000 klagomål med justerade förluster på mer än 2,7 miljarder USD. Microsoft har observerat en ökad grad av sofistikation och taktiskt kunnande hos hotaktörer som specialiserat sig på kompromettering av företags e-post (BEC), bl.a. genom att utnyttja IP-hemadresser så att attackkampanjerna ser ut att vara lokalt genererade.

Den här nya taktiken gör det möjligt för de kriminella att dra in ytterligare pengar på cyberbrott-som-en-tjänst (CaaS) och den har fångat de federala brottsbekämpande myndigheternas intresse eftersom den gör det möjligt för cyberbrottslingarna att undvika de varningar om ”omöjlig resa” som används för att identifiera och blockera avvikande inloggningsförsök och annan misstänkt kontoaktivitet.

Vi är alla cybersäkerhetsförsvarare.
Microsofts Digital Crimes Unit has noterade en ökning på 38 % när det gällde cyberbrott-som-en-tjänst med inriktning på företags e-post mellan 2019 och 2022.

Ökad användning av BulletProftLinks BEC-tjänst i industriell skala

Cyberbrottslig aktivitet med fokus på kompromettering av företags e-post ökar i accelererande takt. Microsoft har observerat en betydande trend i angriparnas användning av plattformar som BulletProftLink, en populär plattform för att skapa kampanjer med skadliga e-postmeddelanden i industriell skala. BulletProftLink säljer en tjänst från slutpunkt till slutpunkt med mallar, värdskap och automatiserade BEC-tjänster. Angripare som använder denna CaaS-tjänst erhåller den angripnes autentiseringsuppgifter och IP-adress.

BEC-hotaktörer köper sedan IP-adresser från IP-hemtjänster som matchar den angripnes plats och skapar IP-proxyservrar som gör det möjligt för cyberbrottslingarna att maskera sitt ursprung. BEC-angriparna, som i tillägg till användarnamn och lösenord nu är utrustade med ett lokaliserat adressutrymme som underlättar deras skadliga aktiviteter, kan nu dölja rörelser, kringgå flaggor för ”omöjlig resa” och öppna en gateway genom vilken de kan utföra ytterligare attacker. Microsoft har observerat att hotaktörer i Asien och i en nation i Östeuropa är de som oftast använder sig av den här taktiken.

”Omöjlig resa” är en identifiering som används för att indikera att ett användarkonto kan vara komprometterat. Dessa aviseringar flaggar för fysiska begränsningar som indikerar att en uppgift genomförs på två platser, utan att ge utrymme åt den tid det krävs att resa från den ena platsen till den andra.

Specialiseringen och konsolideringen av den här sektorn av cyberbrottsekonomin kan eskalera användningen av IP-hemadresser i syfte att undvika identifiering. IP-hemadresser som mappas till adresser i stor skala ger cyberbrottslingarna såväl förmågan som möjligheten att samla på sig stora mängder komprometterade autentiseringsuppgifter och åtkomst till konton. Hotaktörerna utnyttjar IP-/proxytjänster som marknadsförare och andra använder i sitt arbete, till att skala upp sina attacker. En IP-tjänstprovider har exempelvis 100 miljoner IP-adresser som kan roteras eller ändras varje sekund.

Medan hotaktörer använder nätfisketjänster som Evil Proxy, Naked Pages och Caffeine när de ska distribuera nätfiskekampanjer och erhålla komprometterade autentiseringsuppgifter, så erbjuder BulletProftLink en decentraliserad gatewaydesign, som innehåller en offentlig blockkedja av Internet Computer-noder som kan vara värd för nätfiske- och BEC-webbplatser, vilket skapar ett än mer sofistikerat decentraliserat webberbjudande som är mycket svårare att upplösa. Att distribuera dessa webbplatsers infrastruktur till den tilltagande komplexiteten och tillväxten hos offentliga blockkedjor gör det till en mer komplex uppgift att identifiera dem och anpassa borttagningsåtgärder. Även om du kan ta bort en nätfiskelänk, så förblir innehållet kvar online, och cyberbrottslingar kan återvända för att skapa nya länkar till befintligt CaaS-innehåll.

Lyckade BEC-attacker kostar olika organisationer hundratals miljoner dollar varje år. 2022 initierade FBI:s Recovery Asset Team The Financial Fraud Kill Chain för 2 838 BEC-klagomål som omfattar hemtransaktioner med potentiella förluster på över 590 miljoner USD.

Även om de ekonomiska implikationerna är betydande, så kan de långsiktiga skadorna även omfatta identitetsstöld om personligt identifierbar information komprometteras, eller förlust av konfidentiella data, om känslig korrespondens eller immateriell egendom exponeras genom skadliga e-postmeddelanden och annan meddelandetrafik.

E-postnätfiske efter typ

Ett cirkeldiagram som visar den procentuella fördelningen mellan olika typer av e-postmeddelanden för nätfiske som används i komprometteringsattacker av företags e-post. Lure är den vanligaste typen (62,35 %), följt av Payroll (14,87 %), Invoice (8,29 %), Gift Card (4,87 %), Business Information (4,4 %) och övriga (5,22 %).
Data representerar en ögonblicksbild av BEC-nätfiske efter typ från januari till april 2023. Läs mer om den här bilden på sida 4 i den fullständiga rapporten

De populäraste BEC-målen är VD:ar och andra chefer, finansansvariga och personalansvariga med tillgång till personaluppgifter som personnummer, skattebesked och annan personligt identifierbar information. Nyanställda, som kanske är mindre benägna att verifiera e-postbegäranden från obekanta, är också utsatta. Nästan alla typer av BEC-attacker är på uppåtgående. De viktigaste BEC-trenderna är Lure, Payrol, Invoice, Gift Card och affärsinformation.

BEC-attacker står ut inom cyberbrottsindustrin genom deras tonvikt på social manipulering och konsten att bedra. Istället för att utnyttja sårbarheter i okorrigerade enheter försöker BEC-operatörerna utnyttja den dagliga strömmen av e-posttrafik och andra meddelanden och försöker locka offren till att tillhandahålla finansiell information, eller vidta direkta åtgärder som innebär att de omedvetet skickar pengar till konton för penningtvätt, så att brottslingarna kan genomföra bedrägliga pengaöverföringar

Till skillnad för de mer uppseendeväckande attackerna med utpressningstrojaner med omskakande utpressningsmeddelanden, så spelar BEC-operatörerna ett mer stillsamt bondfångarspel med hjälp av utstuderade deadlines som kan lura mottagare som är distraherade eller ovana vid den här typen av brådskande begäranden. Istället för ny skadlig programvaraInstead of novel malware, så använder BEC-angriparna sig av en taktik som fokuserar på verktyg som stärker de skadliga e-postmeddelandenas framgång

Även om det har förekommit många högprofilerade attacker som utnyttjar IP-hemadresser, så delar Microsoft de brottsbekämpande myndigheternas och andras oro över att den här trenden snabbt kan skalas upp, vilket i många fall skulle göra det betydligt svårare att identifiera denna skadliga aktivitet med de traditionella alarmsystemen.

Varierande inloggningsplatser behöver till sin natur inte vara något skadligt. En användare kan exempelvis ha tillgång till sina affärsprogram med en bärbar dator via lokalt Wi-Fi och samtidigt vara inloggad på samma arbetsappar på sin smartphone via ett telefonnät. Därför kan organisationer anpassa trösklarna för sina ”omöjlig resa”-flaggor utifrån en viss risktolerans. Den industriella skala i vilken BEC-attackerna använder sig av lokaliserade IP-adresser skapar dock nya risker för företagen, eftersom anpassningsbara BEC-angripare och andra angripare i ökande grad väljer att använda sig av skadliga e-postmeddelanden och andra aktiviteter genom adressutrymmen nära sina mål.

Rekommendationer:

  • Maximera säkerhetsinställningarna för din inkorg: Företag kan konfigurera sina e-postsystem så att de flaggar meddelanden som skickas från externa parter. Aktivera aviseringar för e-postavsändare som inte är verifierade. Blockera avsändare med identiteter som du inte själv kan bekräfta och rapportera deras e-postadmeddelanden som nätfiske eller skräppost i dina e-postprogram.
  • Konfigurera stark autentisering: Gör det svårare att kapa din e-post genom att aktivera multifaktorautentisering, som förutom ett lösenord även kräver en kod, en PIN-kod eller ett fingeravtryck. MFA-aktiverade konton är mer motståndskraftiga mot hoten med komprommeterade autentiseringsuppgifter och råstyrkeattacker, oavsett vilka adressutrymmen angriparna använder.
  • Träna dina anställda i att känna igen varningssignalerna: Utbilda de anställda i att känna igen bedrägliga och andra skadliga e-postmeddelanden, t.ex. genom e-postadresser och domäner som inte matchar, och riskerna och kostnaderna som följer av lyckade BEC-attacker.

Att bekämpa kompromettering av företags e-post kräver vaksamhet och medvetenhet

Även om hotaktörerna har skapat specialiserade verktyg för att underlätta BEC-attacker, som nätfiskekit och listor med verifierade e-postadresser inriktade på C-Suite-ledare, leverantörsreskontraleads och andra specifika roller, så kan företagen tillämpa metoder som förekommer dessa attacker och minimerar riskerna.

Avvisandeprincipen för domänbaserad rapportering och konformation av meddelandeautentisering (DMARC) tillhandahåller exempelvis det starkaste skyddet mot förfalskade e-postmeddelanden, genom att säkerställa att oauktoriserade meddelanden avvisas på e-postservern redan innan de levereras. Dessutom erbjuder DMARC-rapporterna en mekanism som gör organisationen medveten om källan för en uppenbar förfalskning – information som de vanligtvis inte skulle få.

Även om organisationer har arbetat med fjärr- och hybridarbetsstyrkor under ett antal år nu, så krävs det fortfarande ett ändrat säkerhetsmedvetande i denna hybridarbetsera. Eftersom de anställda arbetar med fler leverantörer och entreprenörer, och därigenom får fler e-postmeddelanden som de är ”först att se”, är det absolut nödvändigt att man är medveten om vad dessa förändringar i arbetsrytm och korrespondens betyder för attackytan.

Hotaktörernas BEC-attacker kan förekomma i olika former – som telefonsamtal, sms, e-postmeddelanden eller meddelanden på sociala medier. Att förfalska meddelanden med autentiseringsbegäranden och imitera personer eller företag är också vanliga taktiker.

Ett bra första defensivt steg är att stärka policyerna för redovisnings-, internkontrolls-, löne- och personalavdelningarna när det gäller hur man ska besvara inkommande förfrågningar eller meddelanden om ändringar av betalningsinstrument, banktransaktioner och banköverföringar. Bara genom att ta ett steg tillbaka och ifrågasätta begäranden som väcker misstanke genom att de inte följer policyer, eller genom att kontakta den begärande parten via dess legitima webbplats eller representanter, kan man kan rädda sin organisation från att göra svindlande förluster.

BEC-attacker är ett bra exempel på varför man måste hantera cyberriskerna på ett tvärfunktionellt sätt genom att VD:ar och chefer, ekonomiansvariga, personalansvariga och andra med tillgång till personaluppgifter som personnummer, skattedeklarationer, kontaktinformation och scheman, arbetar tillsammans med dem med ansvar för IT, efterlevnad och cyberrisker.

Rekommendationer:

  • Använd en säker e-postlösning: Dagens molnplattformar för e-post använder sig av AI-funktioner som maskininlärning för att förbättra försvaret och lägga till avancerat skydd mot nätfiske och identifiering av misstänkt vidarebefordran. Fördelen med molnappar för e-post och produktivitet är att de erbjuder kontinuerliga, automatiska programuppdateringar och centraliserad hantering av säkerhetspolicyer.
  • Skydda identiteter genom att förhindra laterala rörelser: Identitetsskydd är en viktig pelare i kampen mot BEC. Kontrollera åtkomsten till appar och data med Nolltillit och automatiserad identitetsstyrning.
  • Använd en säker betalningsplattform: Överväg att sluta skicka fakturor via e-post och i stället börja använda ett system som är utformat för att autentisera betalningar.
  • Pausa och verifiera en finansiell transaktion genom att ringa ett telefonsamtal: Ett snabbt telefonsamtal för att bekräfta att något är som det ska är väl använd tid, istället för att bara gå vidare med ett snabbt svar eller klick, vilket skulle kunna leda till stöld. Upprätta policyer och förväntningar som påminner de anställda om vikten i att kontakta organisationer eller individer direkt – och inte bara okritiskt använda informationen i misstänkta meddelanden – och dubbelkolla ekonomiska och andra förfrågningar.

Lär dig mer om BEC och iranska hotaktörer genom insikterna från Simeon Kakpovi, Senior Threat Intelligence Analyst.

Ögonblicksbildens data representerar det genomsnittliga antalet årliga och dagliga BEC-attacker som identifierats och undersökts av Microsoft Threat Intelligence från april 2022 till april 2023. Unika nedtagningar av nätfiske-URL:er genomförda av Microsofts Digital Crimes Unit från maj 2022 till april 20231.

  • 35 miljoner per år
  • 156 000 per dag
  • 417 678 nedtagningar av nätfiske-URL:er
  1. [1]

    Metodik: När det gäller ögonblicksbildsdata tillhandahåll Microsoft-plattformar som Microsoft Defender for Office, Microsoft Threat Intelligence och Microsoft Digital Crimes Unit (DCU) anonymiserade data om enhetssäkerhetsrisker, hotaktörsaktiviteter och trender. Dessutom använde forskare data från offentliga källor som Federal Bureau of Investigation (FBI) 2022 Internet Crime Report and Cybersecurity & Infrastructure Security Agency (CISA). Omslagsstatistiken baseras på Microsoft DCU:s arbete med företags e-post och cyberbrott-som-en-tjänst från 2019 till 2022. Ögonblicksbildsdata representerar det justerade genomsnittliga antalet årliga och dagliga BEC-attacker som identifierats och undersökts.

Relaterade artiklar

Insikter från Simeon Kakpovi, expert på iranska hotaktörer

Chefshotinformationsanalytikern Simeon Kakpovi talar om hur man tränar nästa generations cyberförsvarare och hur man ska övervinna de iranska hotaktörernas oerhörda uthållighet.

Den unika säkerhetsrisken för IoT/OT-enheter

I vår senaste rapport belyser vi hur den ökande IoT/OT-anslutningen leder till större och allvarligare sårbarheter som de organiserade cyberhotsaktörerna kan utnyttja.

Den moderna attackytans uppbyggnad

Organisationer måste utveckla en heltäckande säkerhetsstatus om de ska kunna hantera en alltmer komplex attackyta. Den här rapporten innehåller sex viktiga attackytor så att du kan se hur rätt hotinformation kan ge försvararna en fördel.

Följ Microsoft Security