Trace Id is missing

Skiftende taktikker skaber en stigning i kompromittering af virksomhedsmail

Download
Del

Cybersignaler, 4. udgave: Tillidsspillet

Svindel med virksomhedsmail fortsætter med at stige. FBI (Federal Bureau of Investigation) rapporterer mere end 21.000 klager med justerede tab over 2,7 milliarder USD. Microsoft har observeret en stigning i sofistikation og taktikker fra trusselsaktører, der specialiserer sig i kompromittering af virksomhedsmail (BEC), herunder brug af IP-adresser (Internet Protocol) til at få angrebskampagner til at se ud til at være lokalt genereret.

Denne nye taktik hjælper kriminelle med at monetarisere Cyberkriminalitet-som-en-tjeneste (CaaS) yderligere og har fanget føderal lovhåndhævelses opmærksomhed, fordi den lader cyberkriminelle undgå "umulig rejse"-underretninger, der bruges til at identificere og blokere unormale logonforsøg og anden mistænkelig kontoaktivitet.

Vi er alle forsvarere inden for cybersikkerhed.
Microsofts enhed for digital kriminalitet har i perioden 2019 til 2022 observeret en stigning på 38 procent i cyberkriminalitet-som-en-tjeneste, der retter sig mod virksomhedsmail.

Stigningen i BulletProftLinks BEC-tjeneste i industriskala set indefra

Cyberkriminel aktivitet vedrørende kompromittering af virksomhedsmail stiger. Microsoft observerer en betydelig tendens i angriberes brug af platforme, f.eks. BulletProftLink, en populær platform til at oprette skadelige mailkampagner i industriel skala. BulletProftLink sælger en ende-til-ende-tjeneste, der inkluderer skabeloner, hosting og automatiserede tjenester til BEC. Fjender, der bruger denne CaaS, modtager offerets legitimationsoplysninger og IP-adresser.

BEC-trusselsaktører køber derefter IP-adresser fra lokale IP-tjenester, der matcher offerets placering og opretter lokale IP-proxyer, som gør det muligt for cyberkriminelle at skjule deres oprindelse. Udstyret med et lokalt adresseinterval til at understøtte deres skadelige aktiviteter, foruden brugernavne og adgangskoder, kan BEC-angribere nu utydeliggøre bevægelser, omgå "umulig rejse"-flag og åbne en vej til at foretage flere angreb. Microsoft har observeret, at trusselsaktører i Asien og en østeuropæisk nation oftest anvender denne taktik.

Umulig rejse er en registrering, der bruges til at indikere, at en brugerkonto kan være blevet kompromitteret. Disse underretninger markerer fysiske begrænsninger, som viser, at en opgave udføres på to placeringer uden at der er tilstrækkelig tid til at rejse fra den ene placering til den anden.

Specialiseringen og konsolideringen af denne sektor af den cyberkriminelle økonomi kan eskalere brugen af lokale IP-adresser til at undgå registrering. Lokale IP-adresser tilknyttet placeringer i stor skala giver cyberkriminelle evnen til og muligheden for at indhente store mængder kompromitterede legitimationsoplysninger og få adgang til konti. Trusselsaktører bruger IP-/proxytjenester, som markedsførere og andre kan bruge til research til at skalere disse angreb. En IP-tjenesteudbyder har f.eks. 100 millioner IP-adresser, der kan roteres eller ændres hvert sekund.

Mens trusselsaktører bruger phishing-som-en-tjeneste, f.eks. Evil Proxy, Naked Pages og Caffeine til at udrulle phishingkampagner og få kompromitterede legitimationsoplysninger, tilbyder BulletProftLink et decentraliseret gatewaydesign, som inkluderer offentlige blokkædenodes på internetcomputere til at hoste phishing- og BEC-websteder, hvilket skaber et endnu mere sofistikeret decentraliseret webtilbud, der er meget sværere at forstyrre. Fordelingen af disse websteders infrastruktur på tværs af kompleksiteten og den stigende vækst i offentlige blokkæder gør det mere komplekst af identificere dem og justere nedtagningshandlinger. Selvom du kan fjerne et phishinglink, forbliver indholdet online, og cyberkriminelle vender tilbage for oprette et nyt link til eksisterende CaaS-indhold.

Vellykkede BEC-angreb koster organisation hundredvis af millioner af dollars hvert år. I 2022 indledte FBI's genoprettelsesaktivteam Financial Fraud Kill Chain på 2.838 BEC-klager, der involverede indenlandstransaktioner med potentielle tab på over 590 millioner USD.

Selvom de finansielle virkninger er betydelige, kan de videre langsigtede skader inkludere identitetstyveri, hvis personidentificerbare oplysninger (PII) er kompromitteret, eller tab af fortrolige data, hvis følsom korrespondance eller immaterielle rettigheder eksponeres i ondsindet mail- og beskedtrafik.

Phishingmail efter type

Cirkeldiagram, der viser procentopdelingen af forskellige typer phishingmails, der bruges i kompromittering af virksomhedsmail. Lokkeri er den mest almindelige type med 62,35 %, efterfulgt af Løn (14,87 %), Faktura (8,29 %), Gavekort (4,87 %), Virksomhedsoplysninger (4,4 %)og Andet (5,22 %).
Dataene repræsenterer et snapshot af BEC-phishing efter type for januar 2023 til april 2023. Få mere at vide om dette billede på side 4 i den komplette rapport

De mest udbredte mål for BEC er direktører og andre seniorledere, finansledere, HR-personale med adgang til medarbejderoptegnelser, f.eks. personidentifikation (US), skatteoplysninger eller andre personidentificerbare oplysninger. Nye medarbejdere som muligvis er mindre tilbøjelige til at bekræfte ikke-velkendte mailanmodninger målrettes også. Næsten alle former for BEC-angreb bliver mere udbredte. De mest udbredte tendenser for målrettet BEC inkluderer lokkeri, løn, faktura, gavekort og virksomhedsoplysninger.

BEC-angreb skiller sig ud i den cyberkriminelle branche for deres store brug af social engineering og vildledningens kunst. I stedet for at udnytte sårbarheder i ikke-patchede enheder søger BEC-operatører at udnytte det daglige hav af mailtrafik og andre meddelelser til at lokke ofre til at angive finansielle oplysninger eller foretage en direkte handling, f.eks. at sende midler til muldvarpekonti, hvilket hjælper kriminelle med at foretage svigagtige pengeoverførsler

Modsat et "støjende" ransomwareangreb, der gør brug af forstyrrende afpresningsmeddelelser, søger BEC-operatører stille tillid ved at bruge konstruerede deadlines og uopsættelighed til at anspore modtagerne, som kan være distraherede eller vant til denne type hasteanmodninger. I stedet for ny malware tilpasser BEC-fjender deres taktikker til at fokusere på værktøjer, der øger skalaen, plausibiliteten og indbakke-succesandelen for ondsindede meddelelser

Selvom der har været flere højtprofilerede angreb, der gør brug af lokale IP-adresser, deler Microsoft de håndhævende myndigheders og andre organisationers bekymring for, at denne tendens kan skaleres hurtigt, hvilket i flere tilfælde gør det svært at registrere aktivitet med traditionelle alarmer eller notifikationer.

Forskellig logonplaceringer er ikke i sig selv ondsindet. En bruger kan f.eks. få adgang til virksomhedsprogrammer med en bærbar computer via lokalt Wi-Fi og samtidigt være logget på de samme arbejdsapps på sin smartphone via et mobilnetværk. Derfor kan organisationer skræddersy tærskler for markering med flag for umulig rejse baseret på deres risikotolerance. Men den industrielle skala for lokaliserede IP-adresser til BEC-angreb skaber nye risici for virksomheder, f.eks. vælger adaptiv BEC og andre personer med ondsindede hensigter i stigende grad at route skadelig mail og anden aktivitet gennem et adresseinterval tæt på deres mål.

Anbefalinger:

  • Maksimér sikkerhedsindstillingerne, der beskytter din indbakke: Virksomheder kan konfigurere deres mailsystemer til at markere meddelelser, som er sendt fra eksterne parter, med flag. Aktivér meddelelser for, når mailafsendere ikke er bekræftet. Bloker afsendere med identiteter, du ikke uafhængigt kan bekræftes, og rapportér deres mails som phishing eller spam i mailapps.
  • Konfigurer stærk godkendelse: Gør mail sværere at kompromittere ved at aktivere multifaktorgodkendelse, hvilket kræver en kode, pinkode eller et fingeraftryk for at logge på, sammen med din adgangskode. Konti med multifaktorgodkendelse er mere modstandsdygtige over for risikoen for kompromitterede legitimationsoplysninger og brute-force-logonforsøg, uanset hvilket adresseinterval personer med ondsindede hensigter bruger.
  • Oplær medarbejdere til at genkende advarselstegn: Uddan medarbejdere til at genkende svigagtige eller andre skadelige mails, f.eks. en forskel i domæne- og mailadresser, og risikoen for og omkostningerne forbundet med vellykkede BEC-angreb.

Bekæmpelse af kompromittering af virksomhedsmail kræver årvågenhed og opmærksomhed

Selvom trusselsaktører har udviklet specialiserede værktøjer til at facilitere BEC, herunder phishingsæt og lister med bekræftede mailadresser, der retter sig mod direktørgangen, kreditorleads og andre specifikke roller, kan virksomheder gøre brug af metoder til at forebygge angreb og imødegå risiko.

For eksempel giver en DMARC-politik (Domain-based Message Authentication, Reporting, and Conformance) på "afvis" den stærkeste beskyttelse mod forfalsket mail, hvilket sikrer, at ikke-godkendte meddelelser afvises på mailserveren, selv før levering. Derudover giver DMARC-rapporter en mekanisme, som en organisation kan bruge til at blive underrettet om kilden til en indlysende forfalskning, oplysninger de normalt ikke ville modtage.

Selvom organisationer har nogle få års erfaring med at administrere arbejdsstyrker, der er helt eksterne eller hybride, er det stadig nødvendigt at nytænke sikkerhedsbevidsthed i hybridarbejdets tidsalder. Eftersom medarbejdere samarbejder med flere leverandører og kontraktpartnere, hvorved de modtager flere "set først"-mails, er det afgørende at være bevidst om, hvad disse ændringer i arbejdsrytmer og korrespondance betyder for din angrebsoverflade.

Trusselsaktørers BEC-forsøg kan antage mange former – herunder telefonopkald, sms-beskeder, mails eller beskeder på sociale medier. Forfalskede meddelelser med godkendelsesanmodninger og efterligning af enkeltpersoner og virksomheder er også udbredte taktikker.

Et godt første forsvarstrin er at bestyrke politikker for regnskabs-, intern kontrol-, løn- og HR-afdelinger for, hvordan der reageres, når anmodninger eller meddelelser om ændringer vedrørende betalingsmidler eller bankoverførsler modtages. Det kan spare organisationer for betydelige tab at træde et skridt tilbage for at sætter anmodninger til side, der ikke følger politikker eller kontakte den anmodende enhed gennem dens legitime websted og repræsentanter.

BEC-angreb er et godt eksempel på, hvorfor cyberrisiko skal adresseres på en tværfunktionel måde med direktører og ledere, finansmedarbejdere, HR-ledere og andre med adgang til medarbejderoptegnelser, f.eks. personidentifikation (US), skatteopgørelser, kontaktoplysninger og tidsplaner, sammen med it-, overholdelses og cyberrisikodirektører.

Anbefalinger:

  • Brug en sikker mailløsning: Nutidens mailplatforme i clouden bruger funktionalitet med kunstig intelligens, f.eks. maskinel indlæring, til at forstærke forsvaret, tilføje avanceret phishingbeskyttelse og registrering af mistænkelig videresendelse. Cloudapps til mail og produktivitet tilbyder også fordelene ved kontinuerlige automatiske softwareopdateringer og centraliseret administration af sikkerhedspolitikker.
  • Beskyt identiteter for at forbyde lateral bevægelse: Beskyttelse af identiteter er en vigtig søjle ved bekæmpelse af BEC. Styr adgang til apps og data med Nul tillid og automatiseret identitetsstyring.
  • Tag en sikker betalingsplatform i brug: Overvej at skifte fra fakturaer, der sendes via mail, til et system, der specifikt er designet til at godkende betalinger.
  • Stop op, og brug et telefonopkald til at bekræfte finansielle transaktioner: En hurtig telefonsamtale for at bekræfte, at noget er legitimt, er klart tiden værd, i stedet for at antage med et hurtigt svar eller klik, som kan føre til tyveri. Fastlæg politikker og forventninger, der minder medarbejderne om, at det er vigtigt at kontakte organisationer eller enkeltpersoner direkte – og ikke bruge oplysninger fra mistænkelige meddelelser – for at dobbelttjekke finansielle eller andre anmodninger.

Få mere at vide om BEC og iranske trusselsaktører med indsigter fra Simeon Kakpovi, Senior Threat Intelligence Analyst.

Snapshotdataene repræsenterer de gennemsnitlige årlige og daglige BEC-forsøg, der er registreret og undersøgt af Microsoft Threat Intelligence i perioden april 2022 til april 2023. Nedtagninger af unikke URL-adresser til phishing styret af Microsofts enhed for digital kriminalitet mellem maj 2022 og april 20231.

  • 35 millioner årligt
  • 156.000 dagligt
  • 417.678 nedtagninger af URL-adresser til phishing
  1. [1]

    Metodologi: Til brug for snapshotdata leverede Microsoft-platforme, herunder Microsoft Defender for Office, Microsoft Threat Intelligence og Microsofts enhed for digital kriminalitet (DCU), anonymiserede data om enhedssårbarheder og data om aktivitet og tendenser for trusselsaktører. Derudover brugte forskerne data fra offentlige kilder, f.eks. Federal Bureau of Investigation (FBI) 2022 Internet Crime Report og Cybersecurity & Infrastructure Security Agency (CISA). Forsidestatistikken er baseret på Microsoft DCU's engagementer i cyberkriminalitet-som-en-tjeneste for virksomhedsmail i perioden 2019 til 2022. Snapshotdataene repræsenterer de justerede årlige og daglige gennemsnitlige registrerede og undersøgte BEC-forsøg.

Kompromittering af virksomhedsmail Cybersignaler Identitetssikkerhed Phishing

Relaterede artikler

Indsigter fra eksperten i iranske trusselsaktører, Simeon Kakpovi

Senioranalytikeren for oplysninger om trusler, Simeon Kakpovi, taler om oplæring af den næste generation af cyberforsvarere og besejring af iranske trusselsaktørers store vedholdenhed.
Få mere at vide

Den unikke sikkerhedsrisiko for IoT/OT-enheder

I vores seneste rapport udforsker vi, hvordan stigende IoT/OT-forbindelse fører til større og mere alvorlige sårbarheder, som organiserede cybertrusselsaktører kan udnytte.
Få mere at vide

Anatomien for en moderne angrebsoverflade

For at administrere en fortsat mere kompleks angrebsoverflade skal organisationer udvikle et højt sikkerhedsniveau. Denne rapport vil med seks vigtige angrebsoverfladeområder vise dig, hvordan de rigtige oplysninger om trusler kan hjælpe med at vende spillet til forsvarernes fordel.
Få mere at vide

Følg Microsoft Security