Trace Id is missing

Změna taktiky je příčinou nárůstu zneužívání firemních e-mailů

Stáhnout
Sdílení

4. číslo Cyber Signals: Hra o důvěru

Podvodů s firemními e-maily neustále přibývá. Federální úřad pro vyšetřování (FBI) hlásí více než 21 000 stížností s „očištěnými ztrátami“ překračujícími 2,7 miliardy USD. Společnost Microsoft zaznamenala nárůst sofistikovanosti a taktik aktérů, kteří se specializují na ohrožení zabezpečení firemních e-mailů (BEC), a to včetně využívání rezidenčních IP adres, aby útočné kampaně vypadaly jako místně generované.

Tato nová taktika pomáhá zločincům dále monetizovat služby Cybercrime-as-a-Service (CaaS) a upoutala pozornost federálních orgánů činných v trestním řízení, protože umožňuje kyberzločincům vyhnout se upozorněním na „neuskutečnitelné cesty", která slouží k identifikování a blokování nezvyklých pokusů o přihlášení a dalších podezřelých aktivit u účtů.

Kybernetická bezpečnost je záležitost nás všech.
Oddělení Digital Crimes Unit společnosti Microsoft zaznamenalo v letech 2019 až 2022 38% nárůst využívání služeb Cybercrime-as-a-Service (CaaS) zaměřených na firemní e-maily.

Vzestup služeb BEC od BulletProftLink v průmyslovém rozsahu

Aktivity kyberzločinců týkající se ohrožení zabezpečení firemních e-mailů se zrychlují. Společnost Microsoft pozoruje významný trend, kdy útočníci využívají platformy, jako je BulletProftLink, oblíbená platforma pro vytváření škodlivých e-mailových kampaní v průmyslovém rozsahu. BulletProftLink prodává kompletní služby včetně šablon, hostingu a automatizovaných služeb pro ohrožení zabezpečení firemních e-mailů (BEC). Nežádoucí osoby využívající tuto službu CaaS obdrží přihlašovací údaje a IP adresu oběti.

Aktéři hrozeb BEC pak nakupují IP adresy od rezidenčních IP služeb, které odpovídají poloze oběti, a vytvářejí rezidenční IP proxy servery, které kyberzločincům umožňují maskovat jejich původ. Pak můžou útočníci BEC, kteří jsou vedle uživatelských jmen a hesel vyzbrojeni také lokalizovaným adresním prostorem pro podporu svých škodlivých aktivit, zastírat přesuny, obcházet příznaky „neuskutečnitelné cesty“ a otevřít bránu k provádění dalších útoků. Společnost Microsoft zaznamenala, že tuto taktiku nejčastěji používají aktéři hrozeb v Asii a v jedné východoevropské zemi.

„Neuskutečnitelná cesta“ je detekce, která indikuje, že by určitý uživatelský účet mohl být napaden. Tato upozornění označují fyzická omezení, která indikují, že je určitý úkol prováděn na dvou místech, aniž by mohla proběhnout odpovídající doba na cestu z jednoho místa na druhé.

Specializace a konsolidace tohoto odvětví  ekonomiky kybernetických trestných činů by mohla eskalovat používání rezidenčních IP adres za účelem vyhnutí se odhalení. Rezidenční IP adresy mapované na určitá místa ve velkém rozsahu poskytují kyberzločincům možnost a příležitost shromažďovat velké množství napadených přihlašovacích údajů a přístupových účtů. Aktéři hrozeb využívají IP/proxy služby, které můžou obchodníci a další subjekty využívat k výzkumu, aby tyto útoky rozšířili. Jeden poskytovatel IP služeb může mít například 100 milionů IP adres, které můžou být každou sekundu rotovány nebo měněny.

Zatímco aktéři hrozeb používají služby Phishing-as-a-Service, jako jsou Evil Proxy, Naked Pages a Caffeine, k nasazování phishingových kampaní a získávání napadených přihlašovacích údajů, BulletProftLink nabízí decentralizovanou bránu, která zahrnuje veřejné uzly blockchainu Internet Computer pro hostování phishingových webů a webů zaměřených na ohrožení zabezpečení firemních e-mailů (BEC), čímž vytváří ještě sofistikovanější decentralizovanou webovou nabídku, kterou je mnohem těžší narušit. Rozložení infrastruktury těchto webů do složité struktury a rozvíjející se růst veřejných blockchainů ztěžuje jejich identifikaci a sladění akcí pro jejich odebírání. I když phishingový odkaz můžete odebrat, obsah zůstane online a kyberzločinci se vrátí a vytvoří nový odkaz na existující obsah CaaS.

Úspěšné útoky BEC stojí organizace stovky milionů dolarů ročně. V roce 2022 spustil tým Recovery Asset Team v rámci FBI opatření Financial Fraud Kill Chain u 2 838 stížností na útoky BEC, které se týkaly domácích transakcí s potenciálními ztrátami přesahujícími 590 milionů USD.

Ačkoli finanční důsledky jsou významné, širší dlouhodobé škody můžou zahrnovat krádeže identity, pokud je ohroženo zabezpečení identifikovatelných osobních údajů, nebo ztrátu důvěrných dat, pokud dojde k vystavení citlivé korespondence nebo duševního vlastnictví ve škodlivých e-mailech nebo zprávách.

Phishingové e-maily podle typu

Výsečový graf znázorňující procentuální podíl různých typů phishingových e-mailů používaných při útocích zaměřených na ohrožení zabezpečení firemních e-mailů (BEC). Nejčastějším typem jsou návnady (62,35 %), následují mzdy (14,87 %), faktury (8,29 %), dárkové karty (4,87 %), obchodní informace (4,4 %) a ostatní typy (5,22 %).
Data představují přehled útoků phishing zaměřených na ohrožení zabezpečení firemních e-mailů (BEC) podle typu od ledna 2023 do dubna 2023. Další informace o tomto obrázku najdete na straně 4 v úplné studii.

Nejčastějším cílem útoků BEC jsou výkonní manažeři a další vedoucí pracovníci, finanční manažeři a pracovníci lidských zdrojů, kteří mají přístup k záznamům o zaměstnancích, jako jsou čísla sociálního pojištění, daňové výkazy nebo jiné osobní údaje. Zaměřují se také na nové zaměstnance, u kterých může být méně pravděpodobné, že budou ověřovat neznámé e-mailové žádosti. Roste počet téměř všech forem útoků BEC. Mezi hlavní trendy cílených útoků BEC patří návnady, mzdy, faktury, dárkové karty a obchodní informace.

Útoky BEC se v odvětví kybernetických trestných činů odlišují důrazem na sociální inženýrství a umění podvodů. Místo zneužívání zranitelností v neopravovaných zařízeních se operátoři útoků BEC snaží využít každodenní záplavu e-mailů a dalších zpráv, aby nalákali oběti k poskytnutí finančních informací nebo k přímé akci, jako je nevědomé odeslání finančních prostředků na účty finančních zprostředkovatelů, kteří pomáhají zločincům provádět podvodné převody peněz.

Na rozdíl od „hlučného“ ransomwarového útoku, který obsahuje rušivé vyděračské zprávy, hrají operátoři útoků BEC tichou hru s důvěrou, při které využívají vymyšlené termíny a naléhavost, aby příjemce, kteří můžou být nesoustředění nebo zvyklí na tyto typy naléhavých žádostí, podnítili k akci. Místo využívání nového malwaru přizpůsobují operátoři útoků BEC svou taktiku a zaměřují se na nástroje zvyšující rozsah, věrohodnost a úspěšnost doručování škodlivých zpráv.

Ačkoli došlo k několika významným útokům, které využívají rezidenční IP adresy, společnost Microsoft sdílí obavy orgánů činných v trestním řízení a dalších organizací, že se tento trend může rychle rozšířit, což bude při více případech ztěžovat odhalení takovéto aktivity pomocí tradičních upozornění nebo oznámení.

Rozdíly v místech přihlášení nejsou ze své podstaty škodlivé. Uživatel může například přistupovat k firemním aplikacím na notebooku prostřednictvím místní sítě Wi-Fi a současně být přihlášen do stejných pracovních aplikací na svém smartphonu prostřednictvím mobilní sítě. Z tohoto důvodu můžou organizace přizpůsobit prahové hodnoty pro označování „neuskutečnitelných cest“ na základě své tolerance vůči rizikům. Průmyslový rozsah lokalizovaných IP adres pro útoky BEC však vytváří nová rizika pro podniky, protože operátoři adaptivních útoků BEC a další útočníci stále častěji využívají možnost směrovat škodlivou poštu a další aktivity prostřednictvím adresního prostoru v blízkosti svých cílů.

Doporučení:

  • Nastavte maximální zabezpečení chránící vaši doručenou poštu: Podniky můžou nakonfigurovat své poštovní systémy tak, aby označovaly zprávy odeslané externími stranami. Povolte oznámení pro případy, kdy odesílatelé pošty nejsou ověření. Blokujte odesílatele s identitami, které nemůžete nezávisle potvrdit, a nahlašujte jejich e-maily v e-mailových aplikacích jako phishing nebo nevyžádanou poštu.
  • Nastavte silné ověřování: Zapnutím vícefaktorového ověřování, které k přihlášení vyžaduje kromě hesla také nějaký kód, PIN kód nebo otisk prstu, ztížíte možnost ohrožení zabezpečení e-mailu. Účty s povoleným vícefaktorovým ověřováním (MFA) jsou odolnější vůči rizikům napadení přihlašovacích údajů a pokusům o přihlášení hrubou silou, a to bez ohledu na adresní prostor, který útočníci používají.
  • Školte zaměstnance na rozpoznávání varovných signálů: Vzdělávejte zaměstnance ohledně rozpoznávání podvodných a jiných škodlivých e-mailů, jako jsou například neodpovídající domény a e-mailové adresy, a ohledně rizik a nákladů spojených s úspěšnými útoky BEC.

Boj proti ohrožení zabezpečení firemních e-mailů (BEC) vyžaduje ostražitost a informovanost

Ačkoli aktéři hrozeb vytvořili specializované nástroje pro útoky BEC, včetně phishingových sad a seznamů ověřených e-mailových adres zaměřených na výkonné manažery, vedoucí pracovníky oddělení závazků a další specifické role, můžou podniky používat metody, které útokům předcházejí a zmírňují riziko.

Například zásady ověřování, vykazování a dodržování shody zpráv podle domény (DMARC) pro „odmítnutí“ poskytují nejsilnější ochranu proti falešným e-mailům a zajišťují, že neověřené zprávy jsou na poštovním serveru odmítnuty ještě před doručením. Sestavy DMARC navíc poskytují organizacím mechanismus, který je informuje o zdrojích zjevných padělků, což jsou informace, které by normálně nedostaly.

Přestože organizace už několik let řídí plně vzdálené nebo hybridní pracovníky, je stále nutné přehodnocovat povědomí o zabezpečení v éře hybridní práce. Vzhledem k tomu, že zaměstnanci spolupracují s více dodavateli a smluvními partnery, a dostávají tak více e-mailů „poprvé“, je nutné si uvědomit, co tyto změny v pracovním rytmu a korespondenci znamenají pro vaši potenciální oblast útoku.

Pokusy aktérů hrozeb BEC můžou mít mnoho podob – včetně telefonátů, textových zpráv, e-mailů nebo zpráv na sociálních sítích. Běžnou taktikou je také falšování zpráv s žádostí o ověření a vydávání se za jednotlivce a společnosti.

Dobrým prvním obranným krokem je posílení zásad pro účetní oddělení, oddělení vnitřní kontroly, mzdové oddělení nebo oddělení lidských zdrojů ohledně toho, jak reagovat na žádosti nebo oznámení o změnách týkajících se platebních nástrojů, bankovních služeb nebo bankovních převodů. Udělat krok zpět a vynechat žádosti, které podezřele neodpovídají zásadám, nebo kontaktovat subjekt žádosti prostřednictvím jeho legitimního webu a zástupců, může organizaci zachránit před velkými ztrátami.

Útoky BEC jsou skvělým příkladem toho, proč je potřeba kybernetická rizika řešit napříč různými funkcemi a vedle pracovníků zodpovědných za IT, dodržování předpisů a kybernetická rizika zapojit i výkonné manažery, vedoucí pracovníky, zaměstnance finančního oddělení, manažery lidských zdrojů a další osoby, které mají přístup k záznamům o zaměstnancích, jako jsou čísla sociálního pojištění, daňové výkazy, kontaktní údaje a rozvrhy.

Doporučení:

  • Používejte zabezpečené e-mailové řešení: Dnešní e-mailové cloudové platformy využívají k posílení obrany funkce AI, jako je strojové učení, a přidávají pokročilou ochranu proti útokům phishing a detekci podezřelého přeposílání. Cloudové aplikace pro e-maily a produktivní práci nabízejí také výhody průběžných automatických aktualizací softwaru a centralizované správy zásad zabezpečení.
  • Zabezpečte identity, abyste zamezili využívání taktiky „lateral movement“: Ochrana identit je klíčovým pilířem v boji proti ohrožení zabezpečení firemních e-mailů (BEC). Řiďte přístup k aplikacím a datům s využitím principů nulové důvěry (Zero Trust) a automatizované správy identit.
  • Zaveďte bezpečnou platební platformu: Zvažte přechod od faktur posílaných e-mailem na systém navržený speciálně pro ověřování plateb.
  • Zastavte se a ověřte si finanční transakce pomocí telefonního hovoru: Místo unáhlené odpovědi nebo kliknutí na základě domněnky, která může vést ke krádeži, se vyplatí věnovat čas rychlému telefonickému rozhovoru, abyste si ověřili, že je něco legitimní. Zaveďte zásady a očekávání a připomínejte zaměstnancům, že je důležité kontaktovat organizace nebo jednotlivce přímo – a nepoužívat informace poskytnuté v podezřelých zprávách – a ověřovat tak finanční a jiné žádosti.

Další informace o útocích BEC a íránských aktérech hrozeb vám prozradí Simeon Kakpovi, senior analytik pro analýzy hrozeb.

Data představují průměrné roční a denní pokusy o ohrožení zabezpečení firemních e-mailů BEC zjištěné a prověřované Analýzou hrozeb Microsoft v období od dubna 2022 do dubna 2023. Jedinečné případy odebrání phishingových adres URL řízené oddělením Digital Crimes Unit společnosti Microsoft spadají do období mezi květnem 2022 a dubnem 20231.

  • 35 milionů ročně
  • 156 000 denně
  • 417 678 odebraných phishingových adres URL
  1. [1]

    Metodologie: Anonymizovaná data o zranitelnostech zařízení a data o aktivitách a trendech aktérů hrozeb poskytly platformy společnosti Microsoft včetně platforem Microsoft Defender pro Office, Analýza hrozeb Microsoft a Microsoft Digital Crimes Unit (DCU). Kromě toho výzkumníci použili údaje z veřejných zdrojů, jako je zpráva Federálního úřadu pro vyšetřování (FBI) o internetové kriminalitě za rok 2022 a zpráva agentury CISA (Cybersecurity & Infrastructure Security Agency). Statistika vychází z činnosti oddělení Microsoft DCU týkající se firemních e-mailů a služeb Cybercrime-as-a-Service v letech 2019 až 2022. Data představují upravené roční a průměrné denní počty zjištěných a prověřovaných pokusů o útoky BEC.

Ohrožení zabezpečení firemních e-mailů Cyber Signals Zabezpečení identit Útoky phishing

Související články

Poznatky experta na íránské aktéry hrozeb Simeona Kakpoviho

Senior analytik Simeon Kakpovi hovoří o školení nové generace obránců kybernetické bezpečnosti a o překonávání obrovské houževnatosti íránských aktérů hrozeb.
Další informace

Specifické bezpečnostní riziko zařízení IoT/OT

V naší nejnovější studii se zabýváme tím, jak rostoucí propojení Internetu věcí a provozních technologií vede k větším a závažnějším zranitelnostem, které můžou zneužít organizovaní aktéři kybernetických hrozeb.
Další informace

Anatomie moderní potenciální oblasti útoku

Aby stačily na čím dál komplikovanější potenciální oblast útoků, musí organizace zaujmout komplexní postoj k zabezpečení. Tato studie vám na šesti potenciálních oblastech útoku ukáže, jak může správná analýza hrozeb pomoct zvrátit situaci ve prospěch obránců.
Další informace

Sledujte zabezpečení od Microsoftu