Trace Id is missing
Pereiti prie pagrindinio turinio
Security Insider

Pasikeitusi taktika skatina verslo el. pašto kompromitavimo augimą

Atsisiųsti
Bendrinti

„Cyber Signals“ Nr. 4: Pasikliovimo žaidimas

Sukčiavimo verslo el. paštu atvejų vis daugėja: Federalinis tyrimų biuras (FTB) pranešė apie daugiau kaip 21 000 skundų, kurių patikslinti nuostoliai viršija 2,7 mlrd. JAV dolerių. „Microsoft“ pastebėjo, kad grėsmių sukėlėjai, kurie veikia verslo el. pašto pažeidimų (BEC) srityje, vis labiau tobulina savo veiksmus ir taktiką, įskaitant naudojimąsi gyvenamosios vietos interneto protokolo (IP) adresais, kad atakų kampanijos atrodytų sukurtos vietoje.

Ši nauja taktika padeda nusikaltėliams dar labiau pasipelnyti iš kibernetinių nusikaltimų kaip paslaugos (CaaS) ir patraukė federalinės teisėsaugos dėmesį, nes leidžia kibernetiniams nusikaltėliams išvengti „neįmanomų kelionių“ perspėjimų, naudojamų anomaliems prisijungimo bandymams ir kitiems įtartiniems paskyros veiksmams nustatyti ir blokuoti.

Mes visi esame kibernetinės saugos gynėjai.
„Microsoft“ skaitmeninių nusikaltimų skyrius pastebėjo, kad nuo 2019 m. iki 2022 m. kibernetinių nusikaltimų kaip paslaugos, nukreiptų į verslo el. paštą, skaičius padidėjo 38 procentais .

„BulletProftLink“ pramonės lygio BEC paslaugų kilimas

Kibernetinių nusikaltėlių veikla, susijusi su įsilaužimu į verslo el. paštą, spartėja. „Microsoft“ pastebi reikšmingą tendenciją, kad įsilaužėliai naudojasi tokiomis platformomis kaip „BulletProftLink“, kuri yra populiari platforma pramonės masto kenkėjiškoms pašto kampanijoms kurti. „BulletProftLink“ parduoda kompleksines paslaugas, įskaitant šablonus, prieglobą ir automatizuotas BEC paslaugas. Šiuos „CaaS“ naudojantys priešininkai gauna įgaliojimus ir aukos IP adresą.

Tada verslo el. pašto grėsmių sukėlėjai įsigyja IP adresus iš gyvenamosios vietos IP paslaugų teikėjų, atitinkančių aukos buvimo vietą, ir sukuria gyvenamosios vietos IP tarpinius serverius, kurie leidžia kibernetiniams nusikaltėliams užmaskuoti savo kilmę. Dabar, turėdami ne tik vartotojo vardus ir slaptažodžius, bet ir lokalizuotą adresų erdvę savo kenkėjiškai veiklai vykdyti, verslo el. pašto įsilaužėliai gali paslėpti judėjimą, apeiti „neįmanomos kelionės“ žymes ir atverti vartus tolesnėms atakoms vykdyti. „Microsoft“ pastebėjo, kad šią taktiką dažniausiai taiko Azijos ir vienos Rytų Europos šalies grėsmių sukėlėjai.

Neįmanoma kelionė – tai aptikimo būdas, nurodantis, kad į vartotojo paskyrą gali būti įsilaužta. Šiuose įspėjimuose pažymimi fiziniai apribojimai, rodantys, kad užduotis atliekama dviejose vietose, nesuteikiant tinkamo laiko kelionei iš vienos vietos į kitą.

Specializuojantis ir stiprėjant šio kibernetinių nusikaltimų ekonomikos sektoriaus specializacijai gali padažnėti gyvenamosios vietos IP adresų naudojimas siekiant išvengti aptikimo. Gyvenamosios vietos IP adresai, susieti su vietomis, suteikia kibernetiniams nusikaltėliams galimybę surinkti didelį kiekį pažeistų kredencialų ir prieigą prie paskyrų. Šioms atakoms išplėsti grėsmių sukėlėjai naudoja IP ir (arba) tarpinio serverio paslaugas, kurias rinkodaros specialistai ir kiti asmenys gali naudoti tyrimams. Pavyzdžiui, vienas IP paslaugų teikėjas turi 100 milijonų IP adresų, kurie gali būti keičiami kas sekundę.

Nors grėsmių sukėlėjai naudoja sukčiavimą apsimetant kaip paslaugą, pavyzdžiui, „Evil Proxy“, „Naked Pages“ ir „Caffeine“, kad vykdytų sukčiavimo kampanijas ir gautų pažeistus kredencialus, „BulletProftLink“ siūlo decentralizuotą šliuzo dizainą, kuris apima interneto kompiuterio viešuosius blokų grandinės mazgus, kuriuose talpinamos sukčiavimo apsimetant ir BEC svetainės, taip sukuriant dar sudėtingesnę decentralizuotą interneto pasiūlą, kurią daug sunkiau sutrikdyti. Dėl šių svetainių infrastruktūros pasiskirstymo tarp sudėtingų ir besiplečiančių viešųjų blokų grandinių tampa sudėtingiau jas identifikuoti ir suderinti vykdomus veiksmus. Nors galite pašalinti apgaulingą nuorodą, turinys lieka internete ir kibernetiniai nusikaltėliai grįžta, kad sukurtų naują nuorodą į esamą CaaS turinį.

Sėkmingos BEC atakos organizacijoms kasmet kainuoja šimtus milijonų dolerių. 2022 m. FTB Turto susigrąžinimo grupė inicijavo Finansinio sukčiavimo sunaikinimo grandinę dėl 2838 BEC skundų, susijusių su vidaus sandoriais , kurių galimi nuostoliai viršijo 590 milijonų JAV dolerių.

Nors finansiniai padariniai dideli, platesnio masto ilgalaikė žala gali apimti tapatybės vagystę, jei pažeidžiama asmenį identifikuojanti informacija (PII), ar konfidencialių duomenų praradimą, jei slaptas susirašinėjimas ar intelektinė nuosavybė patenka į kenkėjišką el. pašto ir pranešimų srautą.

Sukčiavimo apsimetant laiškai pagal tipą

Skritulinė diagrama, kurioje parodytas įvairių tipų sukčiavimo el. laiškų, naudojamų verslo el. pašto kompromitavimo atakose, procentinis pasiskirstymas. Labiausiai paplitęs tipas – 62,35 %, po jo – darbo algalapis (14,87 %), sąskaita faktūra (8,29 %), dovanų kortelė (4,87 %), verslo informacija (4,4 %) ir kita (5,22 %).
Duomenys atspindi 2023 m. sausio–2023 m. balandžio mėn. BEC sukčiavimo atvejus pagal tipą. Sužinokite daugiau apie šį vaizdą visos ataskaitos 4 puslapyje

Pagrindiniai BEC taikiniai yra vadovai ir kiti vyresnieji vadovai, finansų vadovai, žmogiškųjų išteklių darbuotojai, turintys prieigą prie darbuotojų įrašų, pavyzdžiui, socialinio draudimo numerių, mokesčių deklaracijų ar kitų asmeninių duomenų. Taip pat orientuojamasi į naujus darbuotojus, kurie galbūt yra mažiau linkę tikrinti nepažįstamas el. pašto užklausas. Daugėja beveik visų formų BEC atakų. Pagrindinės BEC tendencijos: viliojimas, darbo užmokestis, sąskaitos faktūros, dovanų kortelės ir verslo informacija.

Kibernetinių nusikaltimų srityje BEC atakos išsiskiria tuo, kad jose daugiausia dėmesio skiriama socialinei inžinerijai ir apgaulės menui. Užuot pasinaudoję neapsaugotų įrenginių pažeidžiamumais, BEC operatoriai stengiasi išnaudoti kasdienį elektroninio pašto ir kitų pranešimų srautą, kad įkalbėtų aukas pateikti finansinę informaciją arba atlikti tiesioginius veiksmus, pavyzdžiui, nežinodami to siųsti lėšas į pinigų mulų sąskaitas, kurios padeda nusikaltėliams atlikti apgaulingus pinigų pervedimus

Skirtingai nuo „triukšmingų“ išpirkos reikalaujančių programų atakų su trikdančiais išviliojimo pranešimais, BEC operatoriai žaidžia tylų pasitikėjimo žaidimą, pasitelkdami išgalvotus terminus ir skubumą, kad paskatintų gavėjus, kurie gali būti išsiblaškę arba pripratę prie tokių skubių prašymų. Vietoj naujų kenkėjiškų programų BEC priešininkai derina savo taktiką dėmesį sutelkdami į priemones, gerinančias kenkėjiškų pranešimų mastą, tikroviškumą ir sėkmės rodiklį

Nors buvo kelios aukšto profilio atakos, kuriose buvo naudojami gyvenamosios vietos IP adresai, „Microsoft“ pritaria teisėsaugos ir kitų organizacijų nuogąstavimams, kad ši tendencija gali greitai išsiplėsti, todėl vis dažniau bus sunku aptikti veiklą naudojant tradicinius pavojaus signalus ar pranešimus.

Prisijungimo vietų skirtumai iš esmės nėra kenkėjiški. Pavyzdžiui, naudodamasis nešiojamuoju kompiuteriu, per vietinį „Wi-Fi“ ryšį naudotojas gali naudotis verslo programomis ir tuo pat metu būti prisijungęs prie tų pačių darbinių programų išmaniajame telefone per mobilųjį tinklą. Dėl šios priežasties organizacijos gali pritaikyti neįmanomų kelionių žymėjimo ribas, atsižvelgdamos į savo rizikos toleranciją. Tačiau pramoniniu mastu lokalizuotų IP adresų naudojimas BEC atakoms surengti kelia naują riziką įmonėms, nes prisitaikantys BEC ir kiti įsilaužėliai vis dažniau naudojasi galimybe nukreipti kenkėjišką paštą ir kitą veiklą per adresų erdvę netoli savo taikinių.

Rekomendacijos:

  • Padidinkite saugos nustatymus, saugančius gaunamųjų laiškų dėžutę: Įmonės gali sukonfigūruoti savo pašto sistemas taip, kad jos pažymėtų iš išorės šalių siunčiamus pranešimus. Įgalinkite pranešimus, kai laiškų siuntėjai nepatikrinti. Blokuokite siuntėjus, kurių tapatybės negalite savarankiškai patvirtinti, ir el. pašto programose praneškite apie jų laiškus kaip apgaulingus arba nepageidaujamus.
  • Nustatykite stiprų autentifikavimą: padarykite el. paštą sunkiau pažeidžiamą įjungę kelių dalių autentifikavimą, kai prisijungimui reikia ne tik slaptažodžio, bet ir kodo, PIN kodo arba piršto atspaudo. Paskyros, kuriose įjungta MFA, yra atsparesnės suklastotų kredencialų ir bandymų prisijungti brutalia jėga rizikai, neatsižvelgiant į užpuolikų naudojamą adresų erdvę.
  • Apmokykite darbuotojus pastebėti įspėjamuosius ženklus: mokykite darbuotojus atpažinti apgaulingus ir kitus kenkėjiškus el. laiškus, pavyzdžiui, domeno ir el. pašto adresų neatitikimą, taip pat su sėkmingomis BEC atakomis susijusią riziką ir išlaidas.

Kovai su verslo el. pašto pažeidimu reikia budrumo ir sąmoningumo

Nors grėsmių sukėlėjai yra sukūrę specializuotų priemonių, palengvinančių BEC, įskaitant sukčiavimo rinkinius ir patikrintų el. pašto adresų sąrašus, skirtus aukščiausio lygio vadovams, atsiskaitymo vadovams ir kitiems specifiniams vaidmenims, įmonės gali taikyti metodus, kurie padėtų iš anksto užkirsti kelią atakoms ir sumažinti riziką.

Pavyzdžiui, domenų pranešimų autentifikavimo, ataskaitų teikimo ir atitikties (DMARC) politika „atmesti“ užtikrina griežčiausią apsaugą nuo suklastotų el. laiškų, nes užtikrina, kad nepatvirtinti pranešimai būtų atmesti pašto serveryje dar prieš juos pristatant. Be to, DMARC ataskaitose organizacijai suteikiama galimybė sužinoti akivaizdžios klastotės šaltinį, t. y. informaciją, kurios ji paprastai negautų.

Nors organizacijos jau kelerius metus valdo visiškai nuotolinius arba hibridinius darbuotojus, hibridinio darbo eroje vis dar reikia permąstyti supratimą apie saugą. Kadangi darbuotojai bendradarbiauja su daugiau pardavėjų ir rangovų, taigi gauna daugiau „pirmą kartą matytų“ el. laiškų, būtina žinoti, ką šie darbo ritmo ir susirašinėjimo pokyčiai reiškia jūsų atakos pažeidžiamai sričiai.

Grėsmių sukėlėjų bandymai vykdyti BEC gali būti įvairių formų: skambučiai telefonu, tekstinės žinutės, el. laiškai ar žinutės socialiniuose tinkluose. Autentifikavimo užklausų pranešimų klastojimas ir apsimetinėjimas asmenimis bei įmonėmis – taip pat įprasta taktika.

Geras pirmas gynybinis žingsnis: sustiprinti apskaitos, vidaus kontrolės, darbo užmokesčio ar žmogiškųjų išteklių skyrių politiką dėl to, kaip reaguoti, kai gaunami prašymai ar pranešimai apie pakeitimus, susijusius su mokėjimo priemonėmis, bankininkyste ar bankiniais pervedimais. Atidėjus užklausas, kurios įtartinai neatitinka politikų, arba susisiekus su užklausą pateikusiu subjektu per jo teisėtą vietą ir atstovus, galima išgelbėti organizacijas nuo milžiniškų nuostolių.

BEC atakos yra puikus pavyzdys, kodėl kibernetinės rizikos klausimai turi būti sprendžiami kartu su IT, atitikties užtikrinimo ir kibernetinės rizikos pareigūnais, t. y. su vadovais ir lyderiais, finansų darbuotojais, žmogiškųjų išteklių vadybininkais ir kitais asmenimis, turinčiais prieigą prie darbuotojų įrašų, pvz., socialinio draudimo numerių, mokesčių deklaracijų, kontaktinės informacijos ir tvarkaraščių.

Rekomendacijos:

  • Naudokite saugų el. pašto sprendimą: šių dienų el. pašto debesijos platformos naudoja dirbtinio intelekto galimybes, pavyzdžiui, mašininį mokymą, kad sustiprintų apsaugą, pridėdamos pažangią apsaugą nuo sukčiavimo ir įtartino persiuntimo aptikimą. Debesijos el. paštui ir produktyvumo programos taip pat suteikia nuolatinių automatinių programinės įrangos atnaujinimų ir centralizuoto saugumo politikos valdymo privalumų.
  • Apsaugokite tapatybes, kad būtų užkirstas kelias šoniniam judėjimui: tapatybių apsauga yra pagrindinis kovos su BEC ramstis. Kontroliuokite prieigą prie programų ir duomenų naudodami nulinį pasitikėjimą ir automatinį tapatybės valdymą.
  • Pasirinkite saugią mokėjimų platformą: apsvarstykite galimybę pereiti nuo elektroniniu paštu siunčiamų sąskaitų faktūrų prie sistemos, specialiai sukurtos mokėjimams autentifikuoti.
  • Padarykite pauzę ir paskambinkite telefonu, kad patikrintumėte finansines operacijas: vertėtų skirti laiko trumpam pokalbiui telefonu, kad patvirtintumėte, jog kažkas yra teisėta, o ne greitai atsakyti ar spustelėti, nes tai gali tapti vagystės priežastimi. Nustatykite politiką ir lūkesčius, primindami darbuotojams, kad svarbu tiesiogiai susisiekti su organizacijomis ar asmenimis ir nesinaudoti įtartinose žinutėse pateikta informacija, taip dar kartą patikrindami finansinius ir kitus prašymus.

Sužinokite daugiau apie BEC ir Irano grėsmių sukėlėjus su vyriausiojo grėsmių analizės analitiko Simeon Kakpovi įžvalgomis.

Momentiniai duomenys apima vidutinius ir metinius ir dienos BEC bandymus, kuriuos aptiko ir ištyrė „Microsoft“ grėsmių žvalgyba nuo 2022 m. balandžio iki 2023 m. balandžio. Unikalūs sukčiavimo apsimetant URL pašalinimai, kuriuos vykdė „Microsoft“ skaitmeninių nusikaltimų skyrius, yra nuo 2022 m. gegužės iki 20231 m. balandžio1.

  • 35 milijonai per metus
  • 156 000 kasdien
  • 417 678 sukčiavimo apsimetant URL pašalinimai
  1. [1]

    Metodika: Momentiniams duomenims pateikti „Microsoft“ platformos, įskaitant „Microsoft Defender for Office“, „Microsoft“ grėsmių žvalgybą ir „Microsoft“ skaitmeninių nusikaltimų skyrių (CDU), pateikė nuasmenintus duomenis apie įrenginių pažeidžiamumą ir duomenis apie grėsmių sukėlėjų veiklą ir tendencijas. Be to, tyrėjai naudojo duomenis iš viešų šaltinių, pavyzdžiui, Federalinio tyrimų biuro (FTB) 2022 m. internetinių nusikaltimų ataskaitos ir Kibernetinio saugumo & infrastruktūros saugumo agentūros (CISA). Viršelio statistika pagrįsta „Microsoft“ CDU verslo el. pašto kibernetinių nusikaltimų kaip paslaugos veiklą nuo 2019 iki 2022 metų. Momentiniai duomenys – tai pakoreguoti metiniai ir vidutiniai kasdieniai aptikti ir ištirti BEC bandymai.

Verslo el. pašto pažeidimas Kibernetiniai signalai Tapatybės sauga Sukčiavimas apsimetant

Susiję straipsniai

Irano grėsmės sukėlėjų eksperto Simeon Kakpovi įžvalgos

Vyriausiasis grėsmių analizės analitikas Simeon Kakpovi kalba apie naujos kartos kibernetinių gynėjų rengimą ir apie tai, kaip įveikti didžiulį Irano grėsmių sukėlėjų atkaklumą.
Sužinokite daugiau

Unikali rizika saugumui dėl internetu sąveikaujančių įrenginių ir operacinių technologijų

Naujausioje ataskaitoje nagrinėjame, kaip dėl didėjančio internetu sąveikaujančių įrenginių ir operacinių technologijų ryšio didėja organizuotų kibernetinių grėsmių sukėlėjų pažeidžiamumas.
Sužinokite daugiau

Modernios atakos pažeidžiamos srities anatomija

Norėdamos valdyti vis sudėtingesnę atakos pažeidžiamą sritį, organizacijos turi sukurti visapusišką saugos būseną. Šioje ataskaitoje, kurioje pateikiamos šešios pagrindinės atakų pažeidžiamos sritys, sužinosite, kaip tinkama grėsmių analizė gali padėti pakreipti žaidimo sąlygas gynėjų naudai.
Sužinokite daugiau

Stebėkite „Microsoft“ saugą