Taktiikan muuttaminen kiihdyttää yrityssähköpostin vaarantumista

Yrityssähköpostin vaarantamiseen liittyvä verkkorikollisuus kiihtyy. Microsoft on havainnut merkittävän suuntauksen hyökkääjien käyttämissä alustoissa, kuten BulletProftLinkissä, joka on suosittu alusta teollisen mittakaavan haittaohjelmakampanjoiden luomiseen. BulletProftLink myy kattavia palveluita yrityssähköpostihyökkäyksiä varten (esimerkiksi malleja, isännöintiä ja automatisoituja palveluita). Tällaista CaaS-palvelua käyttävät hyökkääjät saavat uhrin IP-osoitteen ja tunnistetiedot.

Tämän jälkeen BEC-hyökkääjät ostavat IP-osoitteita uhrin sijaintia vastaavista IP-palveluista ja luovat IP-välityspalvelimia, joiden avulla kyberrikolliset voivat peittää alkuperänsä. Nyt kun BEC-hyökkääjillä on käyttäjätunnusten ja salasanojen lisäksi käytössään paikallinen osoiteavaruus, jolla he voivat tukea haitallista toimintaansa, he voivat peittää liikkeitä, kiertää mahdottoman matkan suojausta ja avata portin lisähyökkäyksiä varten. Microsoft on havainnut, että Aasiassa ja eräässä itäeurooppalaisessa valtiossa toimivat uhkaajat käyttävät tätä taktiikkaa useimmiten.

Mahdoton matka on tunnistusmenetelmä, jolla voidaan tunnistaa vaarantunut tili. Tässä tunnistusmenetelmässä seurataan fyysisiä rajoituksia, jotka osoittavat, että tehtävää suoritetaan kahdessa paikassa ilman riittävää aikaa matkustaa paikasta toiseen.

Tämän tietoverkkorikostalouden sektorin erikoistuminen ja vahvistuminen voi lisätä asuinalueiden IP-osoitteiden hyödyntämistä tunnistamisen välttämiseksi. Asuinalueiden IP-osoitteet, jotka on yhdistetty laajamittaisesti sijainteihin, antavat kyberrikollisille mahdollisuuden kerätä suuria määriä vaarannettuja tunnistetietoja ja käyttää tilejä. Uhkaavat toimijat käyttävät näiden hyökkäysten skaalaamiseen IP- ja välityspalvelinpalveluita, joita markkinoijat ja muut voivat käyttää tutkimuksiinsa. Esimerkiksi yhdellä IP-palveluntarjoajalla on 100 miljoonaa IP-osoitetta, joita voidaan vaihtaa tai muuttaa joka sekunti.

Uhkaavat toimijat käyttävät Evil Proxyn, Naked Pagesin ja Caffeinen kaltaisia tietojenkalastelupalveluita tietojenkalastelukampanjoiden toteuttamiseen ja vaarantuneiden tunnistetietojen hankkimiseen. BulletProftLink puolestaan tarjoaa hajautetun yhdyskäytävän, joka sisältää Internet Computerin julkisia lohkoketjusolmuja tietojenkalastelu- ja BEC-sivustojen isännöintiin. Tämä mahdollistaa entistäkin hienostuneemman hajautetun verkkopalvelun, jota on paljon vaikeampi häiritä. Näiden sivustojen infrastruktuurin jakaminen julkisten lohkoketjujen monimutkaisuuden ja jatkuvan kasvun avulla vaikeuttaa niiden tunnistamista ja torjuntatoimien kohdistamista. Vaikka voit poistaa tietojenkalastelulinkin, sisältö pysyy verkossa, ja verkkorikolliset palaavat luomaan uuden linkin olemassa olevaan CaaS-sisältöön.

Onnistuneet BEC-hyökkäykset maksavat organisaatioille satoja miljoonia dollareita vuosittain. Vuonna 2022 FBI:n Recovery Asset Team käynnisti Financial Fraud Kill Chain -hankkeen 2 838 BEC-ilmoituksen perusteella, jotka koskivat kotimaisia liiketoimia, joiden mahdolliset tappiot olivat yli 590 miljoonaa Yhdysvaltain dollaria.

Vaikka taloudelliset seuraukset ovat merkittäviä, laajempia pitkän aikavälin vahinkoja voivat olla identiteettivarkaudet, jos henkilötiedot vaarantuvat, tai luottamuksellisten tietojen menetys, jos arkaluonteinen kirjeenvaihto tai immateriaaliomaisuus paljastuu haitallisessa sähköposti- ja viestiliikenteessä.

Vaikka uhkaavat toimijat ovat luoneet erikoistyökaluja BEC:n helpottamiseksi, kuten tietojenkalastelupaketteja ja luetteloita varmennetuista sähköpostiosoitteista, jotka on suunnattu ylimmän johdon edustajille, talousjohtajille ja muille erityisrooleille, yritykset voivat silti ottaa käyttöön tiettyjä menetelmiä hyökkäysten ennaltaehkäisemiseksi ja riskien pienentämiseksi.

Esimerkiksi toimialuepohjainen viestien todennus, raportointi ja vaatimustenmukaisuus (DMARC) -käytäntö reject-asetuksella tarjoaa vahvimman suojan väärennettyjä sähköpostiviestejä vastaan, sillä se varmistaa, että todentamattomat viestit hylätään sähköpostipalvelimella jo ennen jakelua. Lisäksi DMARC-raportit tarjoavat organisaatiolle mekanismin, jonka avulla se voi saada tietoonsa ilmeisen väärennöksen lähteen. Tämä on tietoa, jota se ei normaalisti saisi.

Vaikka organisaatiot ovat jo muutaman vuoden ajan hallinnoineet täysin etätyötä tekeviä tai hybrityöntekijöitä, tietoturvatietoisuuden uudelleentarkastelu hybridityön aikakaudella on edelleen tarpeen. Koska työntekijät työskentelevät useampien myyjien ja alihankkijoiden kanssa ja saavat näin ollen enemmän ensimmäisenä nähtyjä sähköpostiviestejä, on välttämätöntä olla tietoinen siitä, mitä nämä muutokset työrytmissä ja viestinnässä tarkoittavat hyökkäyspinnan kannalta.

Uhkaavien toimijoiden BEC-yritykset voivat olla monenlaisia, kuten puheluita, tekstiviestejä, sähköposteja tai someviestejä. Todennuspyyntöjen väärentäminen ja henkilöiksi tai yrityksiksi tekeytyminen ovat myös yleisiä taktiikoita.

Hyvä ensimmäinen puolustautumistaso on vahvistaa kirjanpito-osaston, sisäisen valvonnan, palkanlaskentaosaston tai henkilöstöosastojen toimintatapoja sen suhteen, miten reagoidaan, kun maksuvälineitä, pankkipalveluja tai tilisiirtoja koskevia muutoksia koskevia pyyntöjä tai ilmoituksia vastaanotetaan. Jos otat askeleen taaksepäin ja sivuutat pyynnöt, jotka eivät epäilyttävästi noudata käytäntöjä, tai otat yhteyttä pyynnön esittäneeseen yksikköön sen laillisen sivuston ja edustajien kautta, voit pelastaa organisaation huomattavilta tappioilta.

BEC-hyökkäykset ovat hyvä esimerkki siitä, miksi tietoverkkoriskejä on käsiteltävä monialaisesti siten, että johtajat, taloushallinnon työntekijät, henkilöstöpäälliköt ja muut henkilöt, joilla on pääsy työntekijätietoihin, kuten sosiaaliturvatunnuksiin, veroilmoituksiin, yhteystietoihin ja aikatauluihin, käsittelevät riskejä yhdessä IT-, vaatimustenmukaisuus- ja tietoverkkoriskivastaavien kanssa.

Lue lisää BEC:stä ja iranilaisista uhkaavista toimijoista  Simeon Kakpovilta (Senior Threat Intelligence Analyst).