Změna taktiky je příčinou nárůstu zneužívání firemních e-mailů

Aktivity kyberzločinců týkající se ohrožení zabezpečení firemních e-mailů se zrychlují. Společnost Microsoft pozoruje významný trend, kdy útočníci využívají platformy, jako je BulletProftLink, oblíbená platforma pro vytváření škodlivých e-mailových kampaní v průmyslovém rozsahu. BulletProftLink prodává kompletní služby včetně šablon, hostingu a automatizovaných služeb pro ohrožení zabezpečení firemních e-mailů (BEC). Nežádoucí osoby využívající tuto službu CaaS obdrží přihlašovací údaje a IP adresu oběti.

Aktéři hrozeb BEC pak nakupují IP adresy od rezidenčních IP služeb, které odpovídají poloze oběti, a vytvářejí rezidenční IP proxy servery, které kyberzločincům umožňují maskovat jejich původ. Pak můžou útočníci BEC, kteří jsou vedle uživatelských jmen a hesel vyzbrojeni také lokalizovaným adresním prostorem pro podporu svých škodlivých aktivit, zastírat přesuny, obcházet příznaky „neuskutečnitelné cesty“ a otevřít bránu k provádění dalších útoků. Společnost Microsoft zaznamenala, že tuto taktiku nejčastěji používají aktéři hrozeb v Asii a v jedné východoevropské zemi.

„Neuskutečnitelná cesta“ je detekce, která indikuje, že by určitý uživatelský účet mohl být napaden. Tato upozornění označují fyzická omezení, která indikují, že je určitý úkol prováděn na dvou místech, aniž by mohla proběhnout odpovídající doba na cestu z jednoho místa na druhé.

Specializace a konsolidace tohoto odvětví  ekonomiky kybernetických trestných činů by mohla eskalovat používání rezidenčních IP adres za účelem vyhnutí se odhalení. Rezidenční IP adresy mapované na určitá místa ve velkém rozsahu poskytují kyberzločincům možnost a příležitost shromažďovat velké množství napadených přihlašovacích údajů a přístupových účtů. Aktéři hrozeb využívají IP/proxy služby, které můžou obchodníci a další subjekty využívat k výzkumu, aby tyto útoky rozšířili. Jeden poskytovatel IP služeb může mít například 100 milionů IP adres, které můžou být každou sekundu rotovány nebo měněny.

Zatímco aktéři hrozeb používají služby Phishing-as-a-Service, jako jsou Evil Proxy, Naked Pages a Caffeine, k nasazování phishingových kampaní a získávání napadených přihlašovacích údajů, BulletProftLink nabízí decentralizovanou bránu, která zahrnuje veřejné uzly blockchainu Internet Computer pro hostování phishingových webů a webů zaměřených na ohrožení zabezpečení firemních e-mailů (BEC), čímž vytváří ještě sofistikovanější decentralizovanou webovou nabídku, kterou je mnohem těžší narušit. Rozložení infrastruktury těchto webů do složité struktury a rozvíjející se růst veřejných blockchainů ztěžuje jejich identifikaci a sladění akcí pro jejich odebírání. I když phishingový odkaz můžete odebrat, obsah zůstane online a kyberzločinci se vrátí a vytvoří nový odkaz na existující obsah CaaS.

Úspěšné útoky BEC stojí organizace stovky milionů dolarů ročně. V roce 2022 spustil tým Recovery Asset Team v rámci FBI opatření Financial Fraud Kill Chain u 2 838 stížností na útoky BEC, které se týkaly domácích transakcí s potenciálními ztrátami přesahujícími 590 milionů USD.

Ačkoli finanční důsledky jsou významné, širší dlouhodobé škody můžou zahrnovat krádeže identity, pokud je ohroženo zabezpečení identifikovatelných osobních údajů, nebo ztrátu důvěrných dat, pokud dojde k vystavení citlivé korespondence nebo duševního vlastnictví ve škodlivých e-mailech nebo zprávách.

Ačkoli aktéři hrozeb vytvořili specializované nástroje pro útoky BEC, včetně phishingových sad a seznamů ověřených e-mailových adres zaměřených na výkonné manažery, vedoucí pracovníky oddělení závazků a další specifické role, můžou podniky používat metody, které útokům předcházejí a zmírňují riziko.

Například zásady ověřování, vykazování a dodržování shody zpráv podle domény (DMARC) pro „odmítnutí“ poskytují nejsilnější ochranu proti falešným e-mailům a zajišťují, že neověřené zprávy jsou na poštovním serveru odmítnuty ještě před doručením. Sestavy DMARC navíc poskytují organizacím mechanismus, který je informuje o zdrojích zjevných padělků, což jsou informace, které by normálně nedostaly.

Přestože organizace už několik let řídí plně vzdálené nebo hybridní pracovníky, je stále nutné přehodnocovat povědomí o zabezpečení v éře hybridní práce. Vzhledem k tomu, že zaměstnanci spolupracují s více dodavateli a smluvními partnery, a dostávají tak více e-mailů „poprvé“, je nutné si uvědomit, co tyto změny v pracovním rytmu a korespondenci znamenají pro vaši potenciální oblast útoku.

Pokusy aktérů hrozeb BEC můžou mít mnoho podob – včetně telefonátů, textových zpráv, e-mailů nebo zpráv na sociálních sítích. Běžnou taktikou je také falšování zpráv s žádostí o ověření a vydávání se za jednotlivce a společnosti.

Dobrým prvním obranným krokem je posílení zásad pro účetní oddělení, oddělení vnitřní kontroly, mzdové oddělení nebo oddělení lidských zdrojů ohledně toho, jak reagovat na žádosti nebo oznámení o změnách týkajících se platebních nástrojů, bankovních služeb nebo bankovních převodů. Udělat krok zpět a vynechat žádosti, které podezřele neodpovídají zásadám, nebo kontaktovat subjekt žádosti prostřednictvím jeho legitimního webu a zástupců, může organizaci zachránit před velkými ztrátami.

Útoky BEC jsou skvělým příkladem toho, proč je potřeba kybernetická rizika řešit napříč různými funkcemi a vedle pracovníků zodpovědných za IT, dodržování předpisů a kybernetická rizika zapojit i výkonné manažery, vedoucí pracovníky, zaměstnance finančního oddělení, manažery lidských zdrojů a další osoby, které mají přístup k záznamům o zaměstnancích, jako jsou čísla sociálního pojištění, daňové výkazy, kontaktní údaje a rozvrhy.

Další informace o útocích BEC a íránských aktérech hrozeb vám prozradí Simeon Kakpovi, senior analytik pro analýzy hrozeb.