Trace Id is missing
Перейти до основного
Security Insider

Зміна методів атак призвела до різкого зростання порушень безпеки корпоративної електронної пошти

Завантажити
Поділитися

Cyber Signals, випуск 4: гра на довіру

Кількість випадків порушень безпеки корпоративної електронної пошти продовжує зростати. Федеральним бюро розслідувань (ФБР) було зареєстровано понад 21 000 скарг щодо відповідних атак, збитки від яких оцінюють у понад 2,7 мільярда доларів САШ (USD). Корпорація Майкрософт виявила, що зловмисники ускладнили свої методи здійснення атак порушення безпеки корпоративної електронної пошти (BEC). Зокрема, тепер вони використовують резидентні IP-адреси, щоб маскувати кампанії атак так, ніби їх було згенеровано локально.

Ця нова тактика допомагає зловмисникам продовжувати отримувати прибуток від використання моделі кіберзлочин як послуга (CaaS). Крім того, вона дає хакерам змогу обходити оповіщення "неможлива подорож", які використовуються для виявлення й блокування підозрілих дій з обліковими записами, зокрема незвичних спроб входу, чим привернула увагу федеральних правоохоронних органів.

Ми всі стоїмо на варті кібербезпеки.
Підрозділом корпорації Майкрософт із боротьби з цифровими злочинами було виявлено, що в період із 2019 до 2022 року атаки за моделлю "кіберзлочин як послуга" призвели до  зростання кількості випадків порушень безпеки корпоративної електронної пошти на 38% .

Поширення використання служби BulletProftLink для здійснення BEC-атак

Кількість порушень безпеки корпоративної електронної пошти зростає. Корпорація Майкрософт виявила, що кіберзлочинці все частіше використовують BulletProftLink – популярну платформу для створення великомасштабних кампаній зловмисних листів. BulletProftLink пропонує комплексні послуги, зокрема шаблони, а також служби для хостингу й автоматизації BEC. Зловмисники, які використовують цю CaaS-платформу, отримують облікові дані й IP-адреси жертв.

Потім вони купують IP-адреси резидентних IP-служб, які відповідають місцеперебуванню жертв, створюють резидентні IP проксі-сервери й у такий спосіб маскують джерело свого трафіку. Оснащені локалізованим адресним простором, іменами користувачів і паролями, BEC-зловмисники можуть маскувати свої дії, обходити оповіщення "неможлива подорож" та відкривати шлюз для здійснення інших атак. Згідно з інформацією корпорації Майкрософт найчастіше цю тактику використовують кіберзлочинці з Азії й країн Східної Європи.

Неможлива подорож – це метод виявлення порушень безпеки облікових записів користувачів. Він дає змогу отримувати оповіщення з інформацією про те, що спроби входу в систему виконуються з двох місць, розташованих далеко одне від одного.

Спеціалізація й консолідація цього сектора кіберзлочинної економіки може призвести до широкого застосування резидентних IP-адрес для уникнення виявлення зловмисників. Використання резидентних IP-адрес, зіставлених із місцями перебування жертв, дає кіберзлочинцям змогу збирати великі обсяги вражених облікових даних і отримувати доступ до облікових записів. З метою масштабування цих атак зловмисники використовують ті самі IP- та (або) проксі-сервіси, що й фахівці з маркетингу та інші користувачі. Наприклад, один постачальник IP-служб має 100 мільйонів IP-адрес, які можуть змінюватися щосекунди.

Для розгортання фішингових кампаній і отримання вражених облікових даних зловмисники використовують рішення на основі моделі "фішинг як послуга", зокрема Evil Proxy, Naked Pages та Caffeine. BulletProftLink пропонує децентралізований дизайн шлюзу, який включає вузли відкритого блокчейна інтернет-комп’ютера для хостингу фішингових і BEC-сайтів. Тобто це складніша децентралізована веб-пропозиція, від якої набагато важче захиститися. Через оптимізацію інфраструктури цих сайтів і появу нових та вдосконалених відкритих блокчейнів користувачам усе складніше виявляти атаки й узгоджувати дії щодо їх усунення. Ви можете вилучити фішингове посилання. Однак CaaS-вміст усе одно залишиться в Інтернеті, і кіберзлочинці повторно використають його для створення нового посилання.

Збитки, понесені організаціями внаслідок вдалих BEC-атак, становлять сотні мільйонів доларів на рік. У 2022 році Команда з відновлення активів ФБР ініціювала створення Financial Fraud Kill Chain на основі 2838 скарг щодо пов’язаних із внутрішніми трансакціями BEC-атак, потенційні збитки від яких становили понад 590 мільйонів USD.

Крім серйозних фінансових наслідків, такі атаки також спричиняють довгострокові збитки, зокрема крадіжку ідентифікаційних даних (якщо їх було вражено) або втрату делікатних даних (якщо безпеку конфіденційної кореспонденції чи інтелектуальної власності було порушено внаслідок отримання зловмисного електронного листа й трафіку повідомлення).

Типи фішингових електронних листів

Секторна діаграма відсоткового розподілу різних типів фішингових листів, які використовуються в атаках порушення безпеки корпоративної електронної пошти. Перше місце – заманювання (62,35%), друге – зарплатні відомості (14,87%), третє – рахунки (8,29%), четверте – подарункові картки (4,87%), п’яте – бізнес-інформація (4,4%), шосте – інші типи (5,22%).
Знімок із типами фішингових електронних листів, які використовуються в BEC-атаках. Відповідні дані було зібрано в період із січня до квітня 2023 року. Дізнайтеся більше про це зображення на сторінці 4 повної версії звіту.

Основними цілями для BEC-зловмисників є керівники, фінансові менеджери й персонал відділу кадрів, який має доступ до записів працівників, як-от ідентифікаційних номерів, податкових декларацій та інших PII, а також нові співробітники, оскільки вони з меншою ймовірністю перевірятимуть незвичні електронні листи із запитами. Кіберзлочинці активно використовують майже всі форми BEC-атак. Найпопулярнішими з них є виманювання номерів рахунків, подарункових карток і бізнес-інформації.

Особливістю BEC-атак, яка вирізняє їх із-поміж інших кіберзлочинів, є акцент на соціотехніку й мистецтво введення в оману. Замість того щоб використовувати невиправлені вразливості пристроїв, BEC-оператори застосовують велику кількість щоденного трафіку електронної пошти й інших повідомлень, щоб обманом примушувати жертв передавати їм фінансову інформацію або надсилати гроші на рахунки мулів, які допомагають злочинцям здійснювати перекази вкрадених коштів.

На відміну від "шумних" атак зловмисних програм із вимогою викупу BEC-оператори ведуть тиху й спокійну гру на довіру, використовуючи термінові запити (включно з надуманими термінами та ефектом невідкладності), до яких жертви можуть або бути не готові, або звикнути. Замість нового шкідливого програмного забезпечення BEC-оператори використовують інструменти, які дають змогу оптимізувати масштабованість зловмисних повідомлень, зробити їх правдоподібними й підвищити показник їх успішного надходження.

Попри те, що наразі було зареєстровано всього кілька серйозних атак із використанням резидентних IP-адрес, корпорація Майкрософт поділяє занепокоєння правоохоронних органів та інших організацій щодо можливого різкого збільшення їх кількості. Ми погоджуємося, що здебільшого такі атаки буде важко виявити за допомогою традиційних оповіщень або сповіщень.

Причиною варіацій місцеположень, звідки користувач входить у систему, не обов’язково є атака зловмисників. Наприклад, користувач може отримати доступ до бізнес-програми на ноутбуку, підключеному до локальної мережі Wi-Fi, і водночас уже бути авторизованим у відповідній системі на смартфоні з увімкненою мобільною мережею. Саме тому організації можуть налаштовувати граничні значення позначок "неможлива подорож" на основі свого рівня ризикостійкості. Однак масштабне використання локалізованих IP-адрес для BEC-атак створює нові ризики для підприємств, оскільки кіберзлочинці отримують змогу надсилати зловмисні листи й виконувати інші дії через адресний простір.

Рекомендації:

  • Змініть параметри безпеки, щоб якомога надійніше захистити поштову скриньку: налаштуйте позначення повідомлень, які надходять від зовнішніх користувачів. Увімкніть сповіщення, які повідомлятимуть вас про непідтверджених відправників електронних листів. Блокуйте відправників, ідентичності яких не можете самостійно підтвердити, а також позначайте їхні листи в програмах для електронної пошти як фішинг або спам.
  • Забезпечте надійну автентифікацію: краще вбезпечте свою електронну пошту за допомогою багатофакторної автентифікації, яка, крім пароля, вимагає для входу в систему код, PIN-код або відбиток пальця. Облікові записи, у яких увімкнено БФА, краще захищені від порушень безпеки облікових даних і атак через типові паролі незалежно від того, який адресний простір використовують зловмисники.
  • Навчайте працівників виявляти тривожні ознаки: переконайтеся, що співробітники знають, як виявляти шахрайські або зловмисні листи, зокрема розбіжності в доменах і адресах електронної пошти, а також оцінювати ризики й збитки, пов’язані з вдалими BEC-атаками.

Протидія порушенням безпеки корпоративної електронної пошти вимагає пильності й обізнаності

Попри те, що зловмисники оснащені спеціальними інструментами для спрощення здійснення BEC-атак, зокрема наборами засобів для фішингу й списками підтверджених адрес електронної пошти для проведення кампаній проти керівників C-Suite, бухгалтерів рахунків до сплати тощо, організації можуть упровадити рішення, які дадуть їм змогу попереджати ці атаки та усувати ризики.

Зокрема, ідеться про політику автентифікації повідомлень, звітування й узгодженості на рівні домену (DMARC), яка забезпечує найнадійніший захист від повідомлень від імітованого відправника та відхиляє неавтентифікований вміст на поштовому сервері ще до його доставки. Крім того, завдяки звітам DMARC організації можуть отримувати відомості про джерела явної підробки. Варто зазначити, що ця інформація зазвичай не надається користувачам.

Ми переконані, що через кілька років організації перейдуть на повністю віддалену або гібридну модель роботи. Однак це не звільняє нас від необхідності зараз упроваджувати нові підходи до інформування персоналу про кібербезпеку. Працівники взаємодіють з усе більшою кількістю постачальників і підрядників та отримують усе більше нових електронних листів. Украй важливо розуміти, як зміни в ритмах роботи й кореспонденції впливають на вектори атак.

Зловмисники можуть здійснювати BEC-атаки з використанням телефонних викликів, текстових повідомлень, електронних листів або повідомлень у соціальних мережах. До інших поширених методів належать повідомлення від імітованого відправника із запитом на проходження автентифікації й підробка ідентичностей окремих користувачів і цілих компаній.

Перше, що потрібно зробити для вбезпечення організації, – посилити політики для відділів бухгалтерського обліку, внутрішнього контролю, праці й заробітної плати та роботи з персоналом, щоб відповідні працівники знали, як діяти в разі отримання запитів або повідомлень про зміни, пов’язані з платіжними засобами, банківськими послугами чи грошовими переказами. Ігнорування підозрілих запитів, які не відповідають вимогам політик, і встановлення зв’язку з їх відправниками через справжні сайти чи законних представників може вбезпечити організації від величезних збитків.

BEC-атаки – це чудовий приклад того, чому під час усунення кіберризиків необхідно використовувати багатофункціональний підхід, спрямований переважно на керівників, фінансових працівників, менеджерів відділу кадрів та інших осіб, які мають доступ до записів співробітників, як-от ідентифікаційних номерів, податкових декларацій, контактних даних і розкладів, а також на фахівців з IT, забезпечення відповідності вимогам та керування кіберризиками.

Рекомендації:

  • Використовуйте надійне рішення для електронної пошти: сучасні поштові хмарні платформи використовують можливості ШІ, зокрема машинне навчання, для оптимізації захисту від фішингу й виявлення підозрілих пересилань листів. Крім того, програми для електронної пошти й підвищення продуктивності пропонують можливості безперервного та автоматичного оновлення ПЗ й централізованого керування політиками безпеки.
  • Убезпечте ідентичності для перешкоджання боковому зміщенню: захист ідентичностей – основа протидії BEC. Контролюйте доступ до програм і даних за допомогою моделі нульової довіри й засобів автоматизованого керування ідентичностями.
  • Упровадьте безпечну платіжну платформу: замість відправлення рахунків електронною поштою радимо використовувати спеціальну систему для автентифікації платежів.
  • Зробіть паузу й перевірте фінансові операції: краще зателефонувати у відповідну установу для підтвердження законності трансакції, ніж бути невпевненим у цьому та давати швидку відповідь чи натискати посилання, що може призвести до крадіжки даних. Упровадьте політики, які нагадуватимуть працівникам про важливість ретельної перевірки фінансових та інших запитів, під час якої потрібно зв’язуватися з організаціями або окремими особами напряму, а не використовувати інформацію з підозрілих повідомлень.

Дізнайтеся більше про BEC та іранські джерела загроз від Сімеона Какпові, старшого аналітика кіберзагроз.

Статистика, що репрезентує середньорічну й середньодобову кількість спроб BEC-атак, виявлених і розслідуваних Центром аналізу загроз корпорації Майкрософт у період із квітня 2022 року до квітня 2023 року. Кількість видалень унікальних фішингових URL-адрес, виконаних Підрозділом корпорації Майкрософт із боротьби з цифровими злочинами в період із травня 2022 року до квітня 20231 року1.

  • 35 мільйонів щорічно
  • 156 000 щоденно
  • 417 678 видалень фішингових URL-адрес
  1. [1]

    Методологія: Для отримання цієї статистики було використано анонімні дані про вразливості пристроїв, дії зловмисників і тенденції з таких платформ Microsoft, як Defender для Office, Аналіз загроз та Підрозділ із боротьби з цифровими злочинами (DCU). Крім того, дослідники використовували дані з відкритих джерел, зокрема зі звітів Федерального бюро розслідувань (ФБР) щодо інтернет-злочинів за 2022 рік і Агентства з питань кібербезпеки й захисту інфраструктури (Cybersecurity and Infrastructure Security Agency – CISA). Статистика на обкладинці базується на операціях DCU корпорації Майкрософт щодо усунення атак за моделлю "кіберзлочин як послуга" на корпоративну електронну пошту в період із 2019 до 2022 року. Статистика репрезентує середньорічну й середньодобову кількість виявлених і розслідуваних спроб BEC-атак.

Порушення безпеки корпоративної електронної пошти Cyber Signals Захист ідентичностей Фішинг

Пов’язані статті

Аналітика від експерта з іранських джерел загроз Сімеона Какпові

Старший аналітик кіберзагроз Сімеон Какпові розповідає про підготовку наступного покоління фахівців із захисту й протидію атакам іранських зловмисників.
Дізнайтеся більше

Унікальний ризик для безпеки пристроїв Інтернету речей і операційних технологій

У нашому останньому звіті ми досліджуємо, як розширення можливостей підключення до Інтернету речей і операційних технологій призводить до появи все серйозніших уразливостей, якими можуть скористатися кіберзлочинні організації.
Дізнайтеся більше

Анатомія сучасних векторів атак

Щоб справлятися зі складними векторами атак, організації повинні сформувати комплексний підхід до захищеності. У цьому звіті для шести основних векторів атак показано, як правильна аналітика загроз допомагає схилити шальки терезів на бік тих, хто захищається.
Дізнайтеся більше

Підпишіться на новини про Захисний комплекс Microsoft