Trace Id is missing

Taktiikan muuttaminen kiihdyttää yrityssähköpostin vaarantumista

Cyber Signals Issue 4: The Confidence Game

Yrityssähköpostihuijaukset lisääntyvät edelleen, ja FBI (Federal Bureau of Investigation) on raportoinut yli 21 000 valituksesta, joiden aiheuttamat tappiot ovat yli 2,7 miljardia Yhdysvaltain dollaria. Microsoft on havainnut, että yrityssähköpostin vaarantamiseen (BEC) erikoistuneet uhkaavat toimijat ovat kehittyneet ja että ne käyttävät yhä useampia taktiikoita, mukaan lukien asuinalueiden IP-osoitteiden hyödyntäminen, jotta hyökkäyskampanjat näyttäisivät paikallisesti tuotetuilta.

Tämä uusi taktiikka auttaa rikollisia monetisoimaan CaaS-palveluita (kyberrikollisuus palveluna). Se on herättänyt myös Yhdysvaltain liittovaltion lainvalvontaviranomaisten huomion, koska sen avulla verkkorikolliset voivat kiertää mahdottoman matkan hälytyksiä, jolla tunnistetaan sekä estetään poikkeavia kirjautumisyrityksiä ja muuta epäilyttävää tilitoimintaa.

Olemme kaikki vastuussa kyberturvallisuuden ylläpitämisestä.
Microsoftin digitaalisten rikosten yksikkö on havainnut 38 prosentin kasvun  yrityssähköpostien CaaS-hyökkäyksissä vuosien 2019 ja 2022 välillä.

BulletProftLinkin teollisen tason BEC-palvelun nousun takana

Yrityssähköpostin vaarantamiseen liittyvä verkkorikollisuus kiihtyy. Microsoft on havainnut merkittävän suuntauksen hyökkääjien käyttämissä alustoissa, kuten BulletProftLinkissä, joka on suosittu alusta teollisen mittakaavan haittaohjelmakampanjoiden luomiseen. BulletProftLink myy kattavia palveluita yrityssähköpostihyökkäyksiä varten (esimerkiksi malleja, isännöintiä ja automatisoituja palveluita). Tällaista CaaS-palvelua käyttävät hyökkääjät saavat uhrin IP-osoitteen ja tunnistetiedot.

Tämän jälkeen BEC-hyökkääjät ostavat IP-osoitteita uhrin sijaintia vastaavista IP-palveluista ja luovat IP-välityspalvelimia, joiden avulla kyberrikolliset voivat peittää alkuperänsä. Nyt kun BEC-hyökkääjillä on käyttäjätunnusten ja salasanojen lisäksi käytössään paikallinen osoiteavaruus, jolla he voivat tukea haitallista toimintaansa, he voivat peittää liikkeitä, kiertää mahdottoman matkan suojausta ja avata portin lisähyökkäyksiä varten. Microsoft on havainnut, että Aasiassa ja eräässä itäeurooppalaisessa valtiossa toimivat uhkaajat käyttävät tätä taktiikkaa useimmiten.

Mahdoton matka on tunnistusmenetelmä, jolla voidaan tunnistaa vaarantunut tili. Tässä tunnistusmenetelmässä seurataan fyysisiä rajoituksia, jotka osoittavat, että tehtävää suoritetaan kahdessa paikassa ilman riittävää aikaa matkustaa paikasta toiseen.

Tämän tietoverkkorikostalouden sektorin erikoistuminen ja vahvistuminen voi lisätä asuinalueiden IP-osoitteiden hyödyntämistä tunnistamisen välttämiseksi. Asuinalueiden IP-osoitteet, jotka on yhdistetty laajamittaisesti sijainteihin, antavat kyberrikollisille mahdollisuuden kerätä suuria määriä vaarannettuja tunnistetietoja ja käyttää tilejä. Uhkaavat toimijat käyttävät näiden hyökkäysten skaalaamiseen IP- ja välityspalvelinpalveluita, joita markkinoijat ja muut voivat käyttää tutkimuksiinsa. Esimerkiksi yhdellä IP-palveluntarjoajalla on 100 miljoonaa IP-osoitetta, joita voidaan vaihtaa tai muuttaa joka sekunti.

Uhkaavat toimijat käyttävät Evil Proxyn, Naked Pagesin ja Caffeinen kaltaisia tietojenkalastelupalveluita tietojenkalastelukampanjoiden toteuttamiseen ja vaarantuneiden tunnistetietojen hankkimiseen. BulletProftLink puolestaan tarjoaa hajautetun yhdyskäytävän, joka sisältää Internet Computerin julkisia lohkoketjusolmuja tietojenkalastelu- ja BEC-sivustojen isännöintiin. Tämä mahdollistaa entistäkin hienostuneemman hajautetun verkkopalvelun, jota on paljon vaikeampi häiritä. Näiden sivustojen infrastruktuurin jakaminen julkisten lohkoketjujen monimutkaisuuden ja jatkuvan kasvun avulla vaikeuttaa niiden tunnistamista ja torjuntatoimien kohdistamista. Vaikka voit poistaa tietojenkalastelulinkin, sisältö pysyy verkossa, ja verkkorikolliset palaavat luomaan uuden linkin olemassa olevaan CaaS-sisältöön.

Onnistuneet BEC-hyökkäykset maksavat organisaatioille satoja miljoonia dollareita vuosittain. Vuonna 2022 FBI:n Recovery Asset Team käynnisti Financial Fraud Kill Chain -hankkeen 2 838 BEC-ilmoituksen perusteella, jotka koskivat kotimaisia liiketoimia, joiden mahdolliset tappiot olivat yli 590 miljoonaa Yhdysvaltain dollaria.

Vaikka taloudelliset seuraukset ovat merkittäviä, laajempia pitkän aikavälin vahinkoja voivat olla identiteettivarkaudet, jos henkilötiedot vaarantuvat, tai luottamuksellisten tietojen menetys, jos arkaluonteinen kirjeenvaihto tai immateriaaliomaisuus paljastuu haitallisessa sähköposti- ja viestiliikenteessä.

Tietojenkalastelusähköpostit tyypeittäin

Ympyräkaavio, joka osoittaa yrityssähköpostin vaarantumisen hyökkäyksissä käytettyjen tietojenkalastelusähköpostien tyyppien prosenttierottelun. Houkuttelu on yleisin tyyppi (62,35 %), seuraavina ovat palkanlaskenta (14,87 %), lasku (8,29 %), lahjakortti (4,87 %), yritystiedot (4,4 %) ja muu (5,22 %).
Tiedot edustavat tilannekuvaa BEC-tietojenkalastelusta tyypeittäin tammikuusta 2023 huhtikuuhun 2023. Lue lisää tästä kuvasta  täyden raportin sivulta 4

BEC:n tärkeimpiä kohteita ovat johtajat ja muut ylemmän johdon edustajat, talousjohtajat, henkilöstöhallinnon henkilöstö, joilla on pääsy työntekijätietoihin, kuten sosiaaliturvatunnuksiin, veroilmoituksiin tai muihin tunnistettaviin henkilötietoihin. Kohteena ovat myös uudet työntekijät, jotka ehkä vahvistavat tuntemattomia sähköpostipyyntöjä muita epätodennäköisemmin. Miltei kaikenlaiset BEC-hyökkäykset ovat kasvussa. Kohdennettujen BEC-hyökkäysten yleisimpiä tyyppejä ovat houkuttelu, palkanlaskenta, laskutus, lahjakortti ja yritystiedot.

BEC-hyökkäykset erottuvat muista kyberrikoksista siten, että niissä painotetaan käyttäjän manipulointia ja huijaamista. Sen sijaan, että BEC-hyökkääjät hyödyntäisivät korjaamattomien laitteiden haavoittuvuuksia, he pyrkivät käyttämään hyväkseen päivittäistä sähköpostiliikennettä ja muita viestejä houkutellakseen uhrit antamaan taloudellisia tietoja tai ryhtymään suoriin toimiin, kuten lähettämään tietämättään varoja vilpillisille tileille, joilla rikolliset siirtelevät rahoja.

Toisin kuin huomiota herättävät kiristysohjelmahyökkäykset, jotka sisältävät häiritseviä kiristysviestejä, BEC-hyökkääjät pelaavat hiljaista luottamuspeliä ja käyttävät keksittyjä määräaikoja sekä kiireellisyyttä saadakseen huijattua vastaanottajia, jotka saattavat olla hajamielisiä tai tottuneita tällaisiin kiireellisiin pyyntöihin. Uusien haittaohjelmien sijaan BEC-hyökkääjät kohdistavat taktiikkansa niin, että ne keskittyvät työkaluihin, joilla parannetaan haitallisten viestien laajuutta, uskottavuutta ja saapumisprosenttia.

Huolimatta useista suuren näkyvyyden hyökkäyksistä, joissa on hyödynnetty kotitalouksien IP-osoitteita, Microsoft jakaa lainvalvontaviranomaisten ja muiden organisaatioiden huolen siitä, että tämä suuntaus voi skaalautua nopeasti, mikä vaikeuttaa useissa tapauksissa toiminnan havaitsemista perinteisillä hälytyksillä tai ilmoituksilla.

Kirjautumissijaintien vaihtelu ei ole välttämättä aina haitallista. Käyttäjä voi esimerkiksi käyttää yrityssovelluksia kannettavalla tietokoneella paikallisen Wi-Fi:n kautta ja samanaikaisesti kirjautua samoihin työsovelluksiin älypuhelimellaan matkapuhelinverkon kautta. Tästä syystä organisaatiot voivat räätälöidä mahdottoman matkan hälytysten kynnystasoja riskitoleranssinsa mukaisesti. BEC-hyökkäysten paikallistettujen IP-osoitteiden teollinen mittakaava luo kuitenkin uusia riskejä yrityksille, sillä mukautuvat BEC-hyökkääjät ja muut hyökkääjät käyttävät yhä useammin mahdollisuutta reitittää haitallista sähköpostia ja muuta toimintaa kohteidensa lähellä olevan osoiteavaruuden kautta.

Suositukset:

  • Maksimoi tietoturva-asetukset, jotka suojaavat postilaatikkosi: Yritykset voivat määrittää sähköpostijärjestelmänsä merkitsemään ulkopuolisten tahojen lähettämät viestit. Ota käyttöön ilmoitukset vahvistamattomista lähettäjistä. Estä lähettäjät, joiden identiteettiä et voi riippumattomasti vahvistaa ja ilmianna niiden sähköpostit tietojenkalasteluviesteinä tai roskapostina sähköpostisovelluksissa.
  • Ota käyttöön vahva todennus: Vaikeuta BEC-huijauksia ottamalla käyttöön monimenetelmäinen todentaminen, joka vaatii salasanan lisäksi koodin, PIN-koodin tai sormenjäljen. Monimenetelmäistä todentamista käyttävien tilien tunnistetiedot tarjoavat paremman suojan luvatonta käyttöä ja väsytyshyökkäyksiä vastaan hyökkääjien käyttämästä osoiteavaruudesta riippumatta.
  • Kouluta työntekijät havaitsemaan varoitusmerkit: Kouluta työntekijöitä  havaitsemaan vilpilliset ja muut haitalliset sähköpostiviestit (esimerkiksi verkkotunnuksen ja sähköpostiosoitteiden yhteensopimattomuus) sekä onnistuneisiin BEC-hyökkäyksiin liittyvät riskit ja kustannukset.

Yrityssähköpostin vaarantumisen torjunta vaatii valppautta ja tietoisuutta.

Vaikka uhkaavat toimijat ovat luoneet erikoistyökaluja BEC:n helpottamiseksi, kuten tietojenkalastelupaketteja ja luetteloita varmennetuista sähköpostiosoitteista, jotka on suunnattu ylimmän johdon edustajille, talousjohtajille ja muille erityisrooleille, yritykset voivat silti ottaa käyttöön tiettyjä menetelmiä hyökkäysten ennaltaehkäisemiseksi ja riskien pienentämiseksi.

Esimerkiksi toimialuepohjainen viestien todennus, raportointi ja vaatimustenmukaisuus (DMARC) -käytäntö reject-asetuksella tarjoaa vahvimman suojan väärennettyjä sähköpostiviestejä vastaan, sillä se varmistaa, että todentamattomat viestit hylätään sähköpostipalvelimella jo ennen jakelua. Lisäksi DMARC-raportit tarjoavat organisaatiolle mekanismin, jonka avulla se voi saada tietoonsa ilmeisen väärennöksen lähteen. Tämä on tietoa, jota se ei normaalisti saisi.

Vaikka organisaatiot ovat jo muutaman vuoden ajan hallinnoineet täysin etätyötä tekeviä tai hybrityöntekijöitä, tietoturvatietoisuuden uudelleentarkastelu hybridityön aikakaudella on edelleen tarpeen. Koska työntekijät työskentelevät useampien myyjien ja alihankkijoiden kanssa ja saavat näin ollen enemmän ensimmäisenä nähtyjä sähköpostiviestejä, on välttämätöntä olla tietoinen siitä, mitä nämä muutokset työrytmissä ja viestinnässä tarkoittavat hyökkäyspinnan kannalta.

Uhkaavien toimijoiden BEC-yritykset voivat olla monenlaisia, kuten puheluita, tekstiviestejä, sähköposteja tai someviestejä. Todennuspyyntöjen väärentäminen ja henkilöiksi tai yrityksiksi tekeytyminen ovat myös yleisiä taktiikoita.

Hyvä ensimmäinen puolustautumistaso on vahvistaa kirjanpito-osaston, sisäisen valvonnan, palkanlaskentaosaston tai henkilöstöosastojen toimintatapoja sen suhteen, miten reagoidaan, kun maksuvälineitä, pankkipalveluja tai tilisiirtoja koskevia muutoksia koskevia pyyntöjä tai ilmoituksia vastaanotetaan. Jos otat askeleen taaksepäin ja sivuutat pyynnöt, jotka eivät epäilyttävästi noudata käytäntöjä, tai otat yhteyttä pyynnön esittäneeseen yksikköön sen laillisen sivuston ja edustajien kautta, voit pelastaa organisaation huomattavilta tappioilta.

BEC-hyökkäykset ovat hyvä esimerkki siitä, miksi tietoverkkoriskejä on käsiteltävä monialaisesti siten, että johtajat, taloushallinnon työntekijät, henkilöstöpäälliköt ja muut henkilöt, joilla on pääsy työntekijätietoihin, kuten sosiaaliturvatunnuksiin, veroilmoituksiin, yhteystietoihin ja aikatauluihin, käsittelevät riskejä yhdessä IT-, vaatimustenmukaisuus- ja tietoverkkoriskivastaavien kanssa.

Suositukset:

  • Käytä turvallista sähköpostiratkaisua: Nykyiset sähköpostipilvialustat käyttävät tekoälyominaisuuksia, kuten koneoppimista, parantaakseen suojausta: ne tarjoavat esimerkiksi kehittyneen tietojenkalastelusuojauksen ja epäilyttävien edelleenlähetysten tunnistuksen. Sähköposti- ja hyötypilvisovellukset tarjoavat myös jatkuvat automaattiset ohjelmistopäivitykset sekä suojauskäytäntöjen keskitetyn hallinnan.
  • Suojaa identiteetit estääksesi liikkeen sivuttaissuunnassa: Identiteettien suojaaminen on erittäin tärkeää BEC:ltä suojautumisessa. Hallitse sovellusten ja tietojen käyttöä  Zero Trust -suojausmallin mukaisesti ja automaattisen identiteettien valvonnan avulla.
  • Ota käyttöön suojattu maksualusta: Harkitse siirtymistä sähköpostitse lähetettävistä laskuista järjestelmään, joka on nimenomaisesti suunniteltu maksujen todentamiseen.
  • Pidä tauko ja tarkista maksutapahtumat puhelinsoitolla: Nopea puhelinkeskustelu jonkin asian laillisuuden vahvistamiseksi on siihen käytetyn ajan arvoinen sen sijaan, että tyytyisit nopean vastaukseen tai klikkaukseen, joka voi johtaa varkauteen. Ota käyttöön käytännöt ja odotukset, joissa muistutetaan työntekijöitä siitä, että on tärkeää ottaa suoraan yhteyttä organisaatioihin tai henkilöihin – eikä käyttää epäilyttävissä viesteissä annettuja tietoja – taloudellisten ja muiden pyyntöjen tarkistamiseksi.

Lue lisää BEC:stä ja iranilaisista uhkaavista toimijoista  Simeon Kakpovilta (Senior Threat Intelligence Analyst).

Tilannekuvatiedot edustavat keskimääräisiä vuosittaisia ja päivittäisiä Microsoft Threat Intelligencen tunnistamia ja tutkimia BEC-yrityksiä huhtikuun 2022 ja huhtikuun 2023 välillä. Microsoftin digitaalisten rikosten yksikön toteuttamat ainutlaatuisten tietojenkalastelun URL-osoitteiden estot toukokuusta 2022 huhtikuuhun April 20231.

  • 35 miljoonaa vuosittain
  • 156 000 päivittäin
  • 417 678 estettyä tietojenkalastelun URL-osoitetta
  1. [1]

    Metodologia: Tilannekuvatietoja varten Microsoft-alustat (esimerkiksi Microsoft Defender for Office, Microsoft Threat Intelligence ja Microsoft Digital Crimes Unit (DCU)) toimittivat anonymisoitua tietoa laitteiden haavoittuvuuksista sekä tietoa uhkaavien toimijoiden toiminnasta sekä suuntauksista. Lisäksi tutkijat käyttivät julkisista lähteistä, kuten FBI:n (Federal Bureau of Investigation) 2022 Internet Crime Reportista ja CISA:sta (Cybersecurity & Infrastructure Security Agency) saatuja tietoja. Kannen tilasto perustuu Microsoft DCU:n yrityssähköpostin CaaS-hankkeisiin vuosilta 2019–2022. Tilannekuvatiedot edustavat korjattuja vuotuisia ja keskimääräisiä päivittäisiä havaittuja sekä tutkittuja BEC-yrityksiä.

Aiheeseen liittyviä artikkeleita

Iranilaisten uhkaavien toimijoiden asiantuntijan Simeon Kakpovin mietteitä

Senior Threat Intelligence Analyst Simeon Kakpovi puhuu seuraavan sukupolven kyberpuolustajien kouluttamisesta ja iranilaisten uhkaavien toimijoiden sitkeyden voittamisesta.

IoT/OT-laitteiden ainutlaatuiset tietoturvariskit

Uusimmassa raportissamme tutustumme siihen, miten lisääntyvät IoT/OT-yhteydet johtavat vakavampiin haavoittuvuuksiin, joita järjestäytyneet kyberuhkatoimijat voivat hyödyntää.

Modernin hyökkäyspinnan anatomia

Monimutkaisen hyökkäyspinnan hallitsemiseksi organisaatioiden tulee muodostaa kattava suojaustaso. Tämä raportti näyttää kuuden olennaisen hyökkäyspinnan avulla, miten soveltuvat uhkatiedot voivat auttaa kääntämään pelin puolustautujien hyväksi.

Seuraa Microsoft Securitya