Trace Id is missing

Strategie da adottare per far fronte alla compromissione della posta elettronica aziendale

Problema 4 Cyber Signals: il gioco dell'attendibilità

Le frodi tramite e-mail aziendali continuano a crescere; l'FBI riporta oltre 21.000 reclami con un importo adeguato di perdite che ammonta a oltre 2,7 miliardi di dollari USD. Microsoft ha osservato un aumento nella complessità e di tattiche da parte degli attori di minaccia specializzati in Compromissione della posta elettronica aziendale (Business email compromise, BEC), tra cui lo sfruttamento degli indirizzi IP domestici per far sembrare le campagne di attacco generate a livello locale.

Questa nuova tattica sta aiutando i criminali a monetizzare ulteriormente CAAS e ha attirato l'attenzione delle forze dell'ordine federali poiché consente ai criminali informatici di evadere avvisi "Spostamento fisico impossibile" usati per identificare e bloccare tentativi di accesso anomali e altre attività sospette dell'account.

Siamo tutti difensori della cybersecurity.
La Digital Crimes Unit di Microsoft ha osservato un  aumento del 38%  nel Cybercrime-as-a-Service indirizzato alla posta elettronica aziendale tra il 2019 e il 2022.

Storia della nascita di BulletProftLink, servizio BEC su scala industriale

L'attività dei criminali informatici relativa alla compromissione della posta elettronica aziendale sta accelerando. Microsoft osserva una tendenza significativa nell'uso da parte degli utenti malintenzionati di piattaforme come BulletProftLink, una nota piattaforma per la creazione di campagne di posta elettronica dannosa su scala industriale. BulletProftLink vende un servizio end-to-end tra cui modelli, hosting e servizi automatici per BEC. Gli avversari che usano questo CaaS ricevono le credenziali e l'indirizzo IP della vittima.

Gli attori di minaccia BEC acquistano quindi gli indirizzi IP dai servizi IP residenziali corrispondenti alla posizione della vittima e creano proxy IP residenziali che permettono ai criminali informatici di mascherare la propria origine. Ora, armati di uno spazio indirizzi localizzati a supporto delle proprie attività dannose in aggiunta a nomi utente e password, gli utenti malintenzionati BEC possono oscurare gli spostamenti, eludere i segnali di "spostamento fisico impossibile" e aprire un gateway per condurre ulteriori attacchi. Microsoft ha osservato che sono gli autori di minacce in Asia ed Est Europa ad attuare con maggiore frequenza questa tattica.

Spostamento fisico impossibile è un metodo di rilevamento usato per indicare che un account utente potrebbe essere stato compromesso. Questi avvisi attivano restrizioni fisiche che indicano che un'attività è in corso in due posizioni, senza che ci sia un lasso di tempo adeguato per percorrere il tragitto da una posizione all'altra.

La specializzazione e il consolidamento di questo settore dieconomia del crimine informaticopotrebbe far crescere l'uso di indirizzi IP residenziali per evadere il rilevamento. Gli indirizzi IP residenziali mappati alle posizioni su larga scala offrono la capacità e l'opportunità per i criminali informatici di ottenere grandi volumi di credenziali e account di accesso compromessi. Gli attori di minacce stanno usando i servizi IP/proxy, che gli addetti al marketing e altri potrebbero usare per la ricerca, per scalare questi attacchi. Un provider di servizi IP, ad esempio, ha 100 milioni di indirizzi IP che possono essere ruotati o modificati ogni secondo.

Mentre gliattori di minacceusano il phishing-as-a-service come Evil Proxy, Naked Pages e Caffeine per distribuire campagne di phishing e ottenere credenziali compromesse, BulletProftLink offre un gateway decentralizzato che include nodi di blockchain pubbliche per ospitare siti diphishing e BEC, creando un'offerta web decentralizzata ancora più sofisticata e più difficile da fermare. La distribuzione dell'infrastruttura di questi siti tra la complessità e la crescita in continua evoluzione di blockchain pubbliche ne rende l'identificazione ancora più complessa, come anche l'allineamento di azioni di rimozione. Anche se puoi rimuovere un link di phishing, il contenuto rimane online e i criminali informatici torneranno a creare un nuovo link collegato al contenuto CAAS esistente.

Gli attacchi BEC che riescono costano alle organizzazioni centinaia di milioni di dollari ogni anno. Nel 2022, il Recovery Asset Team dell'FBI ha avviato un'operazione di Financial Fraud Kill Chain su 2838 reclami BEC relativi a transazioni domestichecon perdite potenziali di oltre 590 milioni di dollari USD.

Anche se le implicazioni finanziarie sono significative, i danni a lungo termine più ampi possono includere il furto di identità in caso di compromissione di dati personali oppure la perdita di dati riservati qualora la corrispondenza sensibile o la proprietà intellettuale fosse esposta a posta elettronica e traffico di messaggi dannosi.

Posta di phishing per tipo

Grafico a torta che mostra il dettaglio percentuale di diversi tipi di e-mail di phishing usati negli attacchi di Compromissione della posta elettronica aziendale. Esca è il tipo più comune con il 62,35%, seguito da Buste paga (14,87%), Fattura (8,29%), Gift card (4,87%), informazioni aziendali (4,4%) e altro (5,22%).
I dati rappresentano la situazione del phishing BEC per tipo da gennaio 2023 ad aprile 2023. Scopri di più su questa immagine a pagina 4 del report completo

I principali obiettivi degli attacchi BEC sono i dirigenti e altri leader senior, manager finanziari, personale delle risorse umane con accesso ai registri dei dipendenti come numeri di previdenza sociale, dichiarazioni fiscali o altre informazioni personali. Anche i nuovi dipendenti vengono presi di mira perché meno pronti a verificare richieste e-mail non familiari. Quasi tutte le forme di attacchi BEC sono in aumento. Le tendenze principali relative agli attacchi BEC includono esca, busta paga, fattura, gift card e informazioni aziendali.

Gli attacchi BEC si distinguono nel settore del crimine informatico per la propria enfasi sull'ingegneria socialee sull'arte dell'attività ingannevole. Invece di sfruttare le vulnerabilità in dispositivi senza patch, gli operatori BEC cercano di sfruttare la marea quotidiana di traffico e-mail e altri messaggi per lanciare un'esca alle vittime affinché forniscano informazioni finanziarie oppure eseguano azioni come inviare involontariamente fondi a conti di money mule, che aiutano i criminali a effettuare trasferimenti di denaro fraudolenti

Diversamente da un attacco ransomware "rumoroso" che include messaggi di estorsione che creano disturbo, gli operatori BEC mettono in atto un gioco di attendibilità tranquillo usando scadenze brevi e urgenza per fare pressione ai destinatari, che potrebbero essere distratti o abituati a questo tipo di richieste urgenti. Invece di nuovi malware, gli avversari BEC allineano le proprie tattiche per concentrarsi su strumenti che migliorano la scala, la plausibilità e il tasso di successo dei messaggi dannosi

Anche se si sono verificati diversi attacchi ad alto profilo che sfruttano gli indirizzi IP residenziali, Microsoft condivide la stessa preoccupazione delle forze dell'ordine e di altre organizzazioni che temono che tale tendenza possa crescere rapidamente, rendendo difficile in sempre più cari rilevare l'attività con gli allarmi e le notifiche tradizionali.

Le varianti nelle posizioni di accesso non sono necessariamente dannose. Ad esempio, un utente potrebbe accedere alle applicazioni aziendali tramite un portatile con una rete Wi-Fi locale e aver contemporaneamente effettuato l'accesso alle stesse app di lavoro sul proprio smartphone tramite la connessione dati. Per questo motivo, le organizzazioni possono personalizzare le soglie degli avvisi di spostamento fisico impossibile in base alla propria tolleranza del rischio. Tuttavia, la scala industriale degli indirizzi IP localizzati per gli attacchi BEC crea nuovi rischi per le aziende, poiché gli autori malintenzionati adattivi BEC e di altro tipo sfruttano sempre di più la possibilità di indirizzare la posta dannosa e altre attività tramite spazi di indirizzi vicini ai propri obiettivi.

Consigli:

  • Ottimizzare le impostazioni di sicurezza per proteggere la cartella Posta in arrivo: le aziende possono configurare i propri sistemi di posta affinché vengano segnalati i messaggi inviati da parti esterne. Abilitare le notifiche in caso di mittenti di messaggi e-mail non verificati. Bloccare i mittenti con identità che non puoi confermare in modo indipendente e segnalare le e-mail come phishing o posta indesiderata nelle app di posta elettronica.
  • Configurare l'autenticazione avanzata: rendi la tua e-mail più difficile da compromettere attivando l'autenticazione a più fattori che, oltre alla password, richiede un codice, un PIN o un'impronta digitale per accedere. Gli account con autenticazione a più fattori abilitata sono più resistenti al rischio di credenziali compromesse e a tentativi di accesso tramite forza bruta, indipendentemente dallo spazio indirizzi che gli autori malintenzionati usano.
  • Formare i dipendenti al riconoscimento dei segnali di allarme: educa i dipendenti a riconoscere e-mail fraudolente e dannose, ad esempio da una mancanza di corrispondenza tra dominio e indirizzo e-mail e a conoscere i rischi e costi associati agli attacchi BEC riusciti.

La lotta alla compromissione della posta elettronica aziendale richiede vigilanza e consapevolezza

Anche se gli attori di minaccia hanno creato strumenti specializzati per agevolare gli attacchi BEC, tra cui kit di phishing ed elenchi di indirizzi e-mail verificati indirizzati a dirigenti, responsabili della contabilità fornitori e altri specifici ruoli, le aziende possono attuare metodi per prevenire gli attacchi e mitigare il rischio.

Ad esempio, un criterio DMARC (Domain-based Message Authentication, Reporting and Conformance, DMARC) di "rifiuto" rappresenta la più forte protezione da e-mail falsificate, garantendo che messaggi non autenticati vengano rifiutati dal server di posta, anche prima della consegna. Inoltre, le segnalazioni DMARC offrono un meccanismo affinché un'organizzazione possa conoscere l'origine di una richiesta falsa, informazione che normalmente non riceverebbe.

Anche se sono pochi anni che le organizzazioni si trovano a gestire personale completamente remoto o ibrido, ripensare la consapevolezza in materia di sicurezza nell'era del lavoro ibrido è ancora necessario. Poiché i dipendenti lavorano con sempre più fornitori e appaltatori e ricevono sempre più e-mail da nuovi contatti, è fondamentale sapere cosa significano queste modifiche nei ritmi di lavoro e nella corrispondenza per la propria superficie di attacco.

I tentativi BEC degli autori di minacce possono assumere varie forme, tra cui telefonate, SMS, e-mail o messaggi sui social media. Anche lo spoofing dei messaggi di richiesta di autenticazione e l'imitazione di soggetti e aziende costituiscono delle tattiche comuni.

Un primo passaggio difensivo sta rafforzando i criteri relativi a contabilità, controlli interni, buste paga o reparti delle risorse umane su come rispondere quando si ricevono richieste o notifiche di modifiche riguardanti strumenti di pagamento, banca o bonifici. Fermarsi un attimo davanti a richieste marginali che non seguono i criteri o contattare l'entità che sta presentando la richiesta attraverso il sito e i relativi rappresentati legittimi può salvare le organizzazioni da importanti perdite.

Gli attacchi BEC rappresentano un ottimo esempio del perché il rischio informatico deve essere affrontato in modo interfunzionale con dirigenti e leader, dipendenti dell'area finanziaria, manager delle risorse umane e altri che hanno accesso alle informazioni personali dei dipendenti come numeri di previdenza sociale, dichiarazioni fiscali, informazioni di contatto e piani insieme ai funzionari della conformità IT e del rischio informatico.

Consigli:

  • Usa una soluzione e-mail sicura: le piattaforme di e-mail cloud odierne usano funzionalità di intelligenza artificiale come il machine Learning per aumentare le difese, aggiungendo protezione da phishing avanzata e il rilevamento di forwarding sospetto. Anche le app cloud per e-mail e produttività offrono i vantaggi di aggiornamenti software automatici continui e una gestione centralizzata dei criteri di sicurezza.
  • Proteggere le identità per proibire il movimento laterale: proteggere le identità è un pilastro chiave per combattere gli attacchi BEC. Controlla l'accesso ad app e dati con Zero Trust e la governance dell'identità automatica.
  • Adotta una piattaforma di pagamento sicura: considera la possibilità di passare dalle fatture inviate via e-mail a un sistema specifico per l'autenticazione dei pagamenti.
  • Fermati e usa una telefonata per verificare le transazioni finanziarie: una rapida conversazione telefonica per confermare qualcosa è un buon metodo che vale il tempo speso, invece di procedere con un clic o una risposta immediata che potrebbe causare un furto. Stabilire criteri e aspettative che ricordano ai dipendenti che è importante contattare le organizzazioni o gli individui direttamente e di non usare le informazioni fornite in messaggi sospetti per un doppio controllo delle richieste finanziarie e di altro tipo.

Scopri di più sugli autori di minacce iraniani e BEC con le informazioni dettagliate di Simeon Kakpovi, Senior Threat Intelligence Analyst.

I dati snapshot rappresentano i tentativi medi annui e giornalieri di attacchi BEC rilevati e analizzati da Microsoft Threat Intelligence tra aprile 2022 e aprile 2023. Le operazioni di rimozione di URL di phishing unici dirette dalla Digital Crimes Unit di Microsoft sono relative al periodo compreso tra maggio 2022 e aprile 20231.

  • 35 milioni all'anno
  • 156.000 al giorno
  • 417.678 rimozioni di URL di phishing
  1. [1]

    Metodologia: Per i dati dell'istantanea, le piattaforme Microsoft tra cui Microsoft Defender for Office, Microsoft Threat Intelligence e Microsoft Digital Crimes Unit (DCU) hanno fornito dati anonimi relativi alle vulnerabilità dei dispositivi e dati sull'attività e sulle tendenze relative agli attori delle minacce. Inoltre, i ricercatori usano i dati di origini pubbliche, come l'Internet Crime Report del 2022 dell'FBI e della Cybersecurity & Infrastructure Security Agency (CISA). I dati statistici citati si basano sui coinvolgimenti nelle attività di Cybercrime-as-a-service della posta elettronica aziendale di Microsoft DCU dal 2019 al 2022. I dati dell'istantanea rappresentano i tentativi BEC giornalieri medi e annui aggiustati rilevati e analizzati.

Articoli correlati

Informazioni dettagliate dall'esperto di attori di minacce iraniani Simeon Kakpovi

L'analista di intelligence sulle minacce senior Simeon Kakpovi parla della formazione della prossima generazione di difensori della cybersecurity e di come superare l'estrema tenacia degli attori di minacce iraniani.

Il rischio della sicurezza unico dei dispositivi IoT/OT

Nel nostro ultimo report illustriamo come la crescente connettività IoT/OT sta causando vulnerabilità maggiori e più gravi che possono essere sfruttate dagli attori di minacce organizzati.

Anatomia di una superficie di attacco moderna

Per gestire una superficie di attacco sempre più complessa, le organizzazioni devono sviluppare un approccio alla sicurezza completo. Con sei aree principali della superficie di attacco, questo report mostra come la giusta intelligence sulle minacce può giocare a favore dei difensori.

Segui Microsoft Security