Chuyển đổi những chiến thuật thúc đẩy nguy cơ xâm phạm email doanh nghiệp

Hoạt động tội phạm mạng về xâm phạm email doanh nghiệp đang tăng tốc. Microsoft nhận thấy có một xu hướng đáng kể trong việc kẻ tấn công sử dụng các nền tảng như BulletProftLink – đây là một nền tảng phổ biến để tạo các chiến dịch thư độc hại với quy mô công nghiệp. BulletProftLink bán dịch vụ đầu cuối bao gồm các mẫu, dịch vụ lưu trữ và dịch vụ tự động cho BEC. Kẻ xấu sử dụng CaaS này sẽ nhận được thông tin xác thực và địa chỉ IP của nạn nhân.

Sau đó, các tác nhân đe dọa BEC mua địa chỉ IP từ các dịch vụ IP dân cư khớp với vị trí của nạn nhân, tạo ra các proxy IP dân cư nhằm hỗ trợ tội phạm mạng che giấu nguồn gốc của chúng. Giờ đây, với thêm vũ khí là không gian địa chỉ được bản địa hóa hỗ trợ các hoạt động gây hại bên cạnh tên người dùng và mật khẩu, những kẻ tấn công BEC có thể che khuất các chuyển động, vượt qua cờ cảnh báo “du hành thời gian bất khả thi” và mở ra một cổng kết nối để tiến hành các cuộc tấn công kế tiếp. Microsoft quan sát thấy các tác nhân đe dọa ở châu Á và một quốc gia Đông Âu thường xuyên triển khai chiến thuật này.

Du hành bất khả thi là khả năng phát hiện được sử dụng để chỉ ra rằng tài khoản người dùng có thể bị xâm phạm. Loại cảnh báo này gắn cờ các hạn chế vật lý cho biết một nhiệm vụ đang được thực hiện ở hai địa điểm mà không có khoảng thời gian thích hợp để di chuyển từ địa điểm này sang địa điểm khác.

Sự chuyên môn hóa và tổng hợp của lĩnh vực này trong nền kinh tế tội phạm mạng có thể làm gia tăng khả năng sử dụng địa chỉ IP dân cư để tránh bị phát hiện. Địa chỉ IP dân cư được kết nối tới các vị trí ở quy mô lớn mang lại khả năng và cơ hội cho tội phạm mạng thu thập khối lượng lớn thông tin xác thực và tài khoản truy nhập bị xâm phạm. Các tác nhân đe dọa đang sử dụng dịch vụ IP/proxy được các nhà tiếp thị và những người khác có thể sử dụng để nghiên cứu nhằm mở rộng quy mô các cuộc tấn công này. Ví dụ: một nhà cung cấp dịch vụ IP có 100 triệu địa chỉ IP có thể được luân chuyển hoặc thay đổi mỗi giây.

Trong khi các tác nhân đe dọa sử dụng dịch vụ lừa đảo qua mạng dưới dạng dịch vụ như Evil Proxy, Naked Pages và Caffeine để triển khai các chiến dịch lừa đảo qua mạng và lấy thông tin xác thực bị xâm phạm thì BulletProftLink cung cấp thiết kế cổng phi tập trung, bao gồm các nút chuỗi khối công khai của Internet Computer để lưu trữ các trang web lừa đảo qua mạng và BEC, qua đó tạo ra một dịch vụ web phi tập trung thậm chí còn tinh vi hơn và khó bị gián đoạn hơn nhiều. Việc phân phối cơ sở hạ tầng của các trang web này dựa theo độ phức tạp và sự phát triển ngày càng gia tăng của các chuỗi khối công khai khiến cho việc xác định chúng và điều chỉnh các hành động gỡ bỏ trở nên phức tạp hơn nhiều. Mặc dù bạn có thể xóa liên kết lừa đảo qua mạng nhưng nội dung vẫn còn trực tuyến và tội phạm mạng sẽ quay lại để tạo liên kết mới tới nội dung CaaS hiện có.

Các cuộc tấn công BEC thành công khiến các tổ chức thiệt hại hàng trăm triệu đô la mỗi năm. Năm 2022, Nhóm Tài nguyên Phục hồi của FBI đã khởi xướng Chuỗi tấn công gian lận tài chính đối với 2.838 khiếu nại BEC liên quan đến các giao dịch nội địa với khả năng thiệt hại lên tới hơn 590 triệu USD.

Mặc dù tác động tài chính là đáng kể, nhưng thiệt hại dài hạn rộng hơn có thể bao gồm đánh cắp danh tính nếu thông tin định danh cá nhân (PII) bị xâm phạm hoặc mất dữ liệu bí mật nếu thư từ nhạy cảm hoặc tài sản trí tuệ bị lộ trong lưu lượng tin nhắn và email độc hại.

Mặc dù các tác nhân đe dọa đã tạo ra các công cụ chuyên dụng để hỗ trợ BEC, bao gồm bộ công cụ lừa đảo qua mạng và danh sách địa chỉ email đã được xác minh nhắm vào lãnh đạo ở các cấp quản lý, trưởng nhóm kế toán thanh toán và các vai trò cụ thể khác, nhưng doanh nghiệp có thể sử dụng các phương pháp để ngăn chặn trước khi cuộc tấn công xảy ra và giảm thiểu rủi ro.

Ví dụ: chính sách "từ chối" cơ chế tuân thủ, báo cáo và xác thực thư theo miền (DMARC) cung cấp biện pháp bảo vệ mạnh mẽ nhất chống lại email giả mạo, đảm bảo rằng các thư không được xác thực sẽ bị từ chối tại máy chủ thư, ngay cả trước khi gửi. Ngoài ra, báo cáo DMARC cung cấp một cơ chế để tổ chức nhận thức được nguồn gốc của sự giả mạo rõ ràng, vốn là thông tin mà họ thường không nhận được.

Mặc dù các tổ chức mất vài năm để quản lý lực lượng lao động hoàn toàn từ xa hoặc kết hợp, nhưng vẫn cần phải xem xét lại nhận thức về bảo mật trong kỷ nguyên của mô hình làm việc kết hợp. Bởi vì nhân viên đang làm việc với nhiều nhà cung cấp và nhà thầu hơn, do đó nhận được nhiều email “được nhìn thấy lần đầu” hơn, nên bắt buộc phải nhận thức được những thay đổi về nhịp điệu công việc và thư từ này có ý nghĩa như thế nào đối với bề mặt tấn công của bạn.

Các nỗ lực BEC của các tác nhân đe dọa có thể có nhiều hình thức – bao gồm cuộc gọi điện thoại, tin nhắn văn bản, email hoặc tin nhắn trên mạng xã hội. Giả mạo tin nhắn yêu cầu xác thực cũng nư mạo danh cá nhân và công ty cũng là những chiến thuật phổ biến.

Bước phòng thủ tốt đầu tiên là tăng cường chính sách cho các bộ phận kế toán, kiểm soát nội bộ, bảng lương hoặc nhân sự về cách phản hồi khi nhận được yêu cầu hoặc thông báo về những thay đổi liên quan đến phương tiện thanh toán, ngân hàng hoặc chuyển khoản ngân hàng. Cẩn thận trước các yêu cầu ngoài lề đáng ngờ, không tuân thủ chính sách hoặc liên hệ với bên yêu cầu thông qua trang web và đại diện hợp pháp của đơn vị đó, có thể cứu các tổ chức khỏi những tổn thất đáng kinh ngạc.

Các cuộc tấn công BEC đưa ra một ví dụ điển hình về lý do tại sao rủi ro mạng cần được giải quyết theo cách đa chức năng với các giám đốc điều hành và lãnh đạo, nhân viên tài chính, quản lý nhân sự và những người khác có quyền truy nhập vào hồ sơ nhân viên như số An sinh xã hội, báo cáo thuế, thông tin liên hệ và lịch trình, cùng với các chuyên viên CNTT, tuân thủ và rủi ro mạng.

Tìm hiểu thêm về BEC và  các tác nhân đe dọa ở Iran  với  thông tin chuyên sâu từ Simeon Kakpovi – Chuyên viên Phân tích về Mối đe dọa Cấp cao.