Phân tích hành vi xâm phạm email doanh nghiệp
Không hề ngẫu nhiên khi mỗi cuộc tấn công xâm phạm email doanh nghiệp (BEC) lại cho thấy một nỗ lực cụ thể và được lên kế hoạch riêng để nhắm mục tiêu vào các ngành nghề và cá nhân cụ thể nhằm tối đa hóa cơ hội tiếp cận thông tin và tiền bạc cho tội phạm mạng.
Các cuộc tấn công BEC bao gồm hai giai đoạn chính.
Giai đoạn một bắt đầu với hoạt động truy cập trái phép - có thể hình thành thông qua lừa đảo qua mạng, ứng dụng độc hại, miền mạo danh hoặctội phạm mạng dưới dạng dịch vụ (CaaS)sẽ cung cấp thông tin xác thực cho người đấu giá cao nhất, và tiếp sau đó là giai đoạn giám sát.
Trong thời gian này, tội phạm mạng đang thu thập kiến thức chúng cần cho giai đoạn hai của cuộc tấn công BEC: lừa đảo. Chúng đang đọc email của bạn. Chúng đang nhìn vào mạng lưới bạn tin cậy. Chúng đang tìm kiếm thời điểm chuyển tiền từ tài khoản.
Matt Lundy từ Microsoft Threat Intelligence giải thích: “Một khi tội phạm mạng có được quyền truy cập vào hộp thư đến của mục tiêu, chúng sẽ có quyền truy cập vào mọi thư từ. Chúng sẽ biết bạn đang nói chuyện với ai, bạn thường xuyên trao đổi thư với ai - chúng sẽ biết cách bạn giao tiếp”.
Khi tội phạm mạng biết đủ về mục tiêu để kể có thể một câu chuyện đáng tin cậy, chúng sẽ sử dụng thông tin đó để lấy quyền truy cập hoặc kiếm tiền.
Lundy nói tiếp: “ Hành vi lừa đảo phi kỹ thuật được những tội phạm mạng này triển khai rất tinh vi. Đây là hành động có chủ đích và để đánh lừa mọi người”.
Những công cụ và dịch vụ mà tội phạm mạng mua từ thị trường web đen để thực hiện các cuộc tấn công cũng rất tinh vi.
Lundy giải thích: “Những kẻ thực hiện giai đoạn gian lận trực tuyến trong cuộc tấn công BEC không nhất thiết là những kẻ sẽ thực hiện giai đoạn lừa đảo qua mạng của cuộc tấn công”. “Một trong những lý do khiến CaaS trở thành một vấn đề nhức nhối và ngày càng phức tạp là nó cho phép bọn tội phạm mở rộng quy mô”.
Những cuộc tấn công BEC vẫn luôn là thách thức khi tội phạm mạng tiếp tục phát triển các kỹ thuật và chiến thuật để tránh biện pháp phòng vệ do các tổ chức đưa ra. Các nhà nghiên cứu về bảo mật cũng hy vọng sẽ thấy hoạt động do thám cụ thể về tội phạm mạng trong các ngành thường xuyên chuyển khoản giá trị lớn.
Khu vực hợp đồng công có thể sẽ tiếp tục là nguồn tài liệu phong phú cho các chuyên gia BEC do tính chất công khai của quy trình đấu thầu. Lundy giải thích cách tội phạm mạng thường có thể tạo ra một chiến dịch lừa đảo phi kỹ thuật hiệu quả với thông tin sẵn có chỉ bằng thao tác tìm kiếm cơ bản trên internet.
“Chúng đặc biệt nhắm mục tiêu đến những cá nhân có quyền cho phép chuyển tiền. Những cuộc tấn công BEC quy mô lớn gây thiệt hại hàng triệu đô la này không xảy ra do một email ngẫu nhiên. Nó không phải loại tội phạm mạng gian lận tài chính được nâng cấp. Nó là một kế hoạch vô cùng bài bản. Nó rất cụ thể với một âm mưu riêng biệt trong đầu. Và nó thường sẽ được hỗ trợ và tạo điều kiện thuận lợi bởi nhiều phần tử tội phạm mạng dưới dạng dịch vụ khác nhau, đặc biệt là thông tin xác thực cụ thể”.
Theo dõi Microsoft Security