Trace Id is missing

Taktikavahetus on kasvatanud ärimeiliteenuse pettuste hulka

„Cyber Signals“ 4. väljaanne: The Confidence Game

Ärimeilide pettuste arv kasvab jätkuvalt ning Föderaalne Juurdlusbüroo (FBI) on teatanud enam kui21 000 kaebusest, mille täpsustatud kahju on üle 2,7 miljardi USA dollari. Microsoft on täheldanud meilipetetele (BEC) spetsialiseerunud küberohustajate rafineeritumaks ja taktikalisemaks muutumist, sealhulgas kodumajapidamiste Interneti-protokolli (IP) aadresside kasutamist, et ründekampaaniad paistaksid kohalikku päritolu.

See uus taktika aitab kurjategijatel teenusena kasutatava küberkuritegevusega (CaaS) raha teenida ja see on köitnud föderaalõiguskaitseorganite tähelepanu, kuna võimaldab küberkurjategijatel vältida „võimatu reisi“ hoiatusi, mida kasutatakse anomaalsete sisselogimiskatsete ja muu kahtlase kontotegevuse tuvastamiseks ja blokeerimiseks.

Küberkaitse on meie kõigi kätes.
Microsofti digitaalkuritegevuse üksus on aastatel 2019–2022 täheldanud, et teenusena kasutatava küberkuritegevuse poolt teenusena sihitud ärimeilide hulk on  38 protsenti kasvanud .

BulletProftLinki tööstusliku BEC-teenuse tõusus

Ärimeilide turbemurdega seotud küberkuritegevus kasvab. Microsoft täheldab märkimisväärset suundumust ründeplatvormide kasutamisel nagu BulletProftLink - populaarne platvorm tööstuslike ründemeilikampaaniate loomiseks. BulletProftLink müüb BEC-i jaoks täisteenust, sealhulgas malle, hostimist ja automatiseeritud teenuseid. Seda CaaS-i kasutavad vastased saavad ohvri identimisteabe ja IP-aadressi.

Seejärel ostavad BEC-küberohustajad IP-aadresse kodumajapidamiste IP-aadresside pakkujatelt, mis vastavad ohvri asukohale, luues IP-puhverserverid, mis võimaldavad küberkurjategijatel oma päritolu varjata. Nüüd, olles varustatud kohaliku aadressiruumiga, mis toetab lisaks kasutajanimedele ja paroolidele ka pahatahtlikke tegevusi, saavad BEC-ründajad oma liikumist varjata, mööda hiilida „võimatu reisi“ lipukestest ja avada lüüse edasiste rünnakute läbiviimiseks. Microsoft on täheldanud, et Aasia ja Ida-Euroopa riikide ohustajad kasutavad seda taktikat kõige sagedamini.

„Võimatu reis“ on tuvastus, mida kasutatakse kasutajakonto ohtude tuvastamiseks. Need hoiatused märgivad füüsilisi piiranguid, mis näitavad, et ülesannet täidetakse kahes kohas, ilma et ühest asukohast teise reisimiseks oleks piisavalt aega.

Selle küberkuritegevuse sektori spetsialiseerumine ja konsolideerumine võib suurendada kodumajapidamiste IP-aadresside kasutamist tuvastamisest kõrvalehoidmiseks. Kodumajapidamiste IP-aadressid, mis on vastendatud mastaapselt asukohtadele, annavad küberkurjategijatele võime ja võimaluse koguda suurel hulgal ohustatud identimisteavet ja pääseda juurde kontodele. Ohustajad kasutavad IP/puhverserveri teenuseid, mida turundajad ja teised võivad kasutada nende rünnakute mastaapimiseks. Ühel IP-teenuse pakkujal on näiteks 100 miljonit IP-aadressi, mida saab iga sekundi järel roteerida või muuta.

Kuigiohustajadkasutavad andmepüüki kui teenust, nagu Evil Proxy, Naked Pages ja Caffeine, andmepüügikampaaniate juurutamiseks ja ohustatud identimisteabe hankimiseks, pakub BulletProftLink detsentraliseeritud lüüse, mis hõlmab internetiarvuti avalikud plokiahela sõlmedandmepüügija BEC-saitide majutamiseks, luues veelgi keerukama detsentraliseeritud veebipakkumise, mida on palju raskem häirida. Nende saitide taristu jaotamine vastavalt avalike plokiahelate keerukusele ja arenevale kasvule muudab nende tuvastamise ja eemaldamistoimingute kooskõlastamise keerukamaks. Kuigi saate andmepüügilingi eemaldada, jääb sisu võrku ja küberkurjategijad naasevad, et luua uus link olemasolevale CaaS-i sisule.

Edukad BEC-rünnakud lähevad organisatsioonidele maksma sadu miljoneid dollareid aastas. 2022. aastal algatas FBI varade taastamise meeskond finantspettuste tapuahela 2838 BEC-i alase kaebuse kohta, mis hõlmasid riigisiseseid tehinguid,millega kaasnevad võimalikud kahjud üle 590 miljoni USA dollari.

Kuigi rahalised tagajärjed on märkimisväärsed, võivad laiemad pikaajalised kahjud hõlmata identiteedivargust, kui isikut tuvastav teave (PII) on ohus, või konfidentsiaalsete andmete kadu, kui tundlik kirjavahetus või intellektuaalomand puutub kokku pahatahtliku meilide ja sõnumite liiklusega.

Andmepüügimeilid tüübi järgi

Sektordiagramm, mis näitab meilipetterünnetes kasutatud erinevat tüüpi andmepüügimeilide protsentuaalset jaotust. Kõige levinum on peibutis (62,35%), millele järgnevad palgaleht (14,87%), arve (8,29%), kinkekaart (4,87%), äriteave (4,4%) ja muu (5,22%).
Andmed kujutavad endast BEC-andmepüügi ülevaadet tüübi järgi 2023. aasta jaanuarist kuni 2023. aasta aprillini. Lisateavet selle pildi kohta leiate  täieliku aruande 4. leheküljelt

BEC-i peamised sihtmärgid on ettevõttejuhid ja teised kõrgemad juhid, finantsjuhid, personalitöötajad, kellel on juurdepääs töötajate andmetele, nagu isikukoodid, maksuaruanded või muud isikuandmed. Sihtmärgiks on ka uued töötajad, kes kontrollivad harvemini tundmatuid meilitaotlusi. Peaaegu kõik BEC-rünnete vormid on tõusuteel. Sihitud BEC-i peamised liigid on peibutised, palgalehed, arved, kinkekaardid ja äriteave.

BEC-i rünnakud paistavad küberkuritegevuse valdkonnas silma selle poolest, et kasutavad eriti sotsiaaltehnoloogiatja petmise kunsti. Selle asemel, et ära kasutada seadmete haavatavusi, püüavad BEC-i operaatorid ära kasutada igapäevast meilide ja muude sõnumite liiklust, et meelitada ohvreid finantsteavet esitama või sooritama otsest tegevust, nagu näiteks raha saatmine rahamuulade kontodele, mis aitavad kurjategijatel teha petturlikke rahaülekandeid

Erinevalt „mürarikkast“lunavararündest, mis sisaldab häirivaid väljapressimisteateid, mängivad BEC-operaatorid vaikset enesekindlat mängu, kasutades väljamõeldud tähtaegu ja kiireloomulisust, et julgustada adressaate, kelle tähelepanu võib olla hajutatud või kes on harjunud seda tüüpi kiireloomuliste taotlustega. Uudse pahavara asemel kohandavad BEC-ohustajad oma taktikat, et keskenduda tööriistadele, mis suurendavad pahatahtlike sõnumite ulatust, usutavust ja postkasti sattumise määra

Kuigi on toimunud mitu kõrgetasemelist rünnet, mis kasutavad kodumajapidamiste IP-aadresse, jagab Microsoft õiguskaitse- ja muude organisatsioonide muret selle pärast, et seda suundumust saab kiiresti laiendada, muutes tavapäraste hoiatuste või teatiste abil tegevuse tuvastamise paljudel juhtudel keeruliseks.

Erinevused sisselogimiskohtades ei ole oma olemuselt pahatahtlikud. Näiteks võib kasutaja kohaliku Wi-Fi kaudu sülearvutiga ärirakendustele juurde pääseda ja olla samal ajal mobiilsidevõrgu kaudu oma nutitelefonis samadesse töörakendustesse sisse logitud. Sel põhjusel saavad organisatsioonid kohandada „võimatuid reisi“ piirmäärasid vastavalt oma riskitaluvusele. BEC-rünnete lokaliseeritud IP-aadresside tööstuslik ulatus loob aga ettevõtetele uusi riske, kuna kohanduv BEC ja teised ründajad kasutavad üha enam võimalust suunata pahatahtlikud kirjad ja muud tegevused sihtmärkide lähedal asuva aadressiruumi kaudu.

Soovitused:

  • Maksimeerige oma postkasti kaitsvaid turbesätteid: Ettevõtted saavad konfigureerida oma meilisüsteemid märgistama välistelt osapooltelt saadud sõnumeid. Lubage teatised, kui meilisaatja pole kinnitatud. Blokeerige saatjad identiteediga, mida te ei saa meilirakendustes iseseisvalt kinnitada ja nende meilidest andmepüügi või rämpspostina teatada.
  • Tugeva autentimise seadistamine: Muutke meilipete keerulisemaks, lülitades sisse mitmikautentimise, mis nõuab sisselogimiseks lisaks paroolile ka koodi, PIN-koodi või sõrmejälge. MFA-toega kontod on vastupidavamad identimisteabe ohtu sattumise ja jõuga sisselogimiskatsete suhtes, olenemata ründajate aadressiruumist.
  • Koolitage töötajaid hoiatusmärke märkama: koolitage töötajaid , et nad märkaksid petturlikke ja muid pahatahtlikke meile, nagu domeeni ja meiliaadressi mittevastavus ning teaksid riske ja kulusid, mis seotud edukate BEC-rünnakutega.

Meilipetetega võitlemine nõuab valvsust ja teadlikkust

Kuigi ohustajad on loonud BEC-i hõlbustamiseks spetsiaalseid tööriistu, sealhulgas andmepüügikomplektid ja kinnitatud meiliaadresside loendid, mis on suunatud C-Suite’i juhtidele, ostureskontrojuhtidele ja muudele konkreetsetele rollidele, saavad ettevõtted kasutada meetodeid rünnakute ennetamiseks ja riskide maandamiseks.

Näiteks domeenipõhise sõnumiautentimise, -teavituse ja -vastavuse (DMARC) „tagasilükkamise“ poliitika pakub tugevaimat kaitset võltsitud meilide eest, tagades, et autentimata kirjad lükatakse meiliserveris tagasi isegi enne kohaletoimetamist. Lisaks annab DMARC-teavitus mehhanismi, mille abil organisatsioon saab teadlikuks ilmse võltsimise allikast - see on teave, mida nad tavaliselt ei saaks.

Kuigi organisatsioonid on juba paar aastat tegelenud täielikult kaug- või hübriidtööjõu haldamisega, on hübriidtöö ajastul siiski vaja turvateadlikkus ümber mõtestada. Kuna töötajad töötavad rohkemate hankijate ja töövõtjatega, saades seeläbi rohkem „esmakordselt nähtud“ meile, on hädavajalik olla teadlik sellest, mida need muutused töörütmis ja kirjavahetuses tähendavadteie ründepinnale.

Ohustajate BEC-ründed võivad esineda mitmel kujul – sealhulgas telefonikõned, tekstsõnumid, meilid või sotsiaalmeedia sõnumid. Autentimistaotluste võltsimine ning isikute ja ettevõtetena esinemine on samuti levinud taktika.

Hea esmane kaitsesamm on raamatupidamise, sisekontrolli, palgaarvestuse või personaliosakondade poliitika tugevdamine selle kohta, kuidas reageerida päringutele või teatistele maksevahendite, panga või pangaülekannete muudatuste kohta. Kui astute sammu tagasi kõrvaltaotluste juurde, mis kahtlaselt ei järgi eeskirju, või võtate ühendust taotleva juriidilise isikuga selle seadusliku saidi ja esindajate kaudu, võib organisatsioone säästa tohututest kahjudest.

BEC-rünnakud on suurepärane näide sellest, miks tuleb küberriskidega tegelemisel pööeduda ka juhtide, finantstöötajate, personalijuhtide ja teiste poole, kellel on juurdepääs töötajate dokumentidele, nagu isikukoodid, maksuaruanded, kontaktteave ja ajakavad koos IT-, vastavus- ja küberriskiametnikega.

Soovitused:

  • Kasutage turvalist meililahendust: Tänapäevased meilide pilveplatvormid kasutavad kaitsevõime parandamiseks tehisintellekti võimalusi, nagu masinõpe, lisades täiustatud andmepüügikaitse ja kahtlaste edasisaatmise tuvastamise. Meilide ja tootlikkuse suurendamise jaoks mõeldud pilverakendused pakuvad ka pidevate automaatsete tarkvaravärskenduste ja turvapoliitikate tsentraliseeritud haldamise eeliseid.
  • Turvaline identiteet külgrünnete takistamiseks: Identiteedi kaitsmine on BEC-i vastu võitlemise põhisammas. Kontrollige juurdepääsu rakendustele ja andmetele Zero Trusti ja automatiseeritud identiteedihalduse abil.
  • Võtke kasutusele turvaline makseplatvorm: Kaaluge võimalust minna arvete meiliga saatmiselt üle süsteemile, mis on spetsiaalselt loodud maksete autentimiseks.
  • Tehke paus ja kasutage finantstehingute kinnitamiseks telefonikõnet: Kiire telefonivestlus, mille eesmärk on kinnitada, et miski on legitiimne, on aega väärt, selle asemel, et eeldada kiiret vastamist või klõpsamist, mis võib viia vargusele. Kehtestage eeskirjad ja ootused, mis tuletavad töötajatele meelde, et finants- ja muude taotluste ülevaatamiseks on oluline võtta ühendust otse organisatsioonide või üksikisikutega – mitte kasutada kahtlastes sõnumites esitatud teavet.

Hetktõmmiste andmed esindavad keskmisi iga-aastaseid ja igapäevaseid BEC-katseid, mille Microsofti ohuanalüüs tuvastas ja mida ta uuris ajavahemikus 2022. aasta aprillist 2023. aasta aprillini. Microsofti digitaalkuritegevuse üksuse juhitud unikaalsed andmepüügi URL-ide eemaldamised toimuvad 2022. aasta maist 20231. aasta aprillini1.

  • 35 miljonit aastas
  • 156 000 iga päev
  • 417 678 andmepüügi URL-i eemaldamist
  1. [1]

    Metoodika: Hetktõmmiste andmete jaoks esitasid Microsofti platvormid, sealhulgas Microsoft Defender for Office, Microsoft Threat Intelligence ja Microsoft Digital Crimes Unit (DCU), anonüümseid andmeid seadmete haavatavuste ning ohustajate tegevuse ja suundumuste kohta. Lisaks kasutasid teadlased andmeid avalikest allikatest, nagu Föderaalse Juurdlusbüroo (FBI) 2022. aasta internetikuritegevuse aruanne, ja küberturbe & taristu turvaagentuur (CISA). Kaanestatistika põhineb Microsofti DCU ärimeilidesse teenusena kasutatava küberkuritegevuse kaasamisest aastatel 2019–2022. Hetktõmmiste andmed esindavad korrigeeritud iga-aastaseid ja keskmisi päevaseid tuvastatud ja uuritud BEC-ründeid.

Seotud artiklid

Iraani ohustajate eksperdi Simeon Kakpovi ülevaated

Ohuteabe staažikas analüütik Simeon Kakpovi räägib järgmise põlvkonna küberkaitsjate koolitamisest ja Iraani ohustajate visadusest ülesaamisest.

IoT/OT seadmete unikaalne turberisk

Oma viimases aruandes uurime, kuidas ioT/OT ühenduvuse suurenemine aitab organiseeritud küberohustajatel haavatavusi suuremini ja tõsisemalt ära kasutada.

Tänapäevase ründepinna anatoomia

Üha keerukamaks muutuva ründepinna haldamiseks peavad asutused ja ettevõtted välja töötama igakülgse turbeseisundi. Sellest aruandest saate kuue peamise ründepinna näitel teada, kuidas saab õige ohuteave aidata mänguplatsi kaitsjate poole kallutada.

Jälgige Microsofti turbeteenust