Trace Id is missing
דלג לתוכן הראשי
Security Insider

שינוי טקטיקות מקדם את העלייה החדה בחשיפת דואר אלקטרוני עסקי לסכנה

הורד
שתף

סוגיית Cyber Signals 4: משחק המהימנות

הונאה בדואר אלקטרוני עסקי ממשיכה לעלות, לשכת החקירות הפדרלית (FBI) מדווחת על מעל 21,000 חברות עם הפסדים משוקללים של מעל 2.7$USD מיליארד. Microsoft צפתה בעליה בתחכום ובטקטיקות של גורמי איומים שמתמחים בחשיפת דואר אלקטרוני עסקי לסכנה (BEC), כולל מינוף כתובות מגורים של פרוטוקול אינטרנט (IP) כדי לגרום לקמפיינים של מתקפה להיראות כאילו נוצרו באופן מקומי.

הטקטיקה החדשה עוזרת לפושעים להמשיך לבצע מונטיזציה מפשע כשירות (CaaS) ותפסה את תשומת הלב של רשויות אכיפת החוק הפדרליות מאחר שהיא מאפשרת לפושעי סייבר להתחמק מהתראות ”מסע בזמן” כדי לזהות ולחסום ניסיונות התחברות אנומליות ופעילות חשודה אחרת בחשבון.

כולנו מגיני אבטחת סייבר.
יחידת הפשעים הדיגיטליים של Microsoft צפה  בעלייה של 38% בפשעי סייבר כשירות שהציבו כיעד דואר אלקטרוני עסקי בין שנת 2019 ל- 2022.

הצצה לעלייתו של שירות BEC בקנה מידה תעשייתי של BulletProftLink

הפעילות של פושע סייבר סביב חשיפת דואר אלקטרוני עסקי לסכנה מואצת. Microsoft צופה במגמה משמעותית בשימוש של תוקפים בפלטפורמות, כגון BulletProftLink שהיא פלטפורמה פופולרית ליצירת קמפיינים של דואר זדוני בקנה מידה תעשייתי. BulletProftLink מוערת שירות מקצה לקצה שכולל תבניות, אירוח ושירותים אוטומטיים עבור BEC. מפרסים שמשתמשים ב- CaaS זה מקבלים פרטי כניסה ואת כתובת ה- IP של הקרבן.

גורמי איום BEC רוכשים בשלב זה כתובות IP משירותי IP של מגורים שתואמים למיקום של הקרבן ויוצרים כתובות IP Proxy של מקום מגורים אשר מעודדים פושעי סייבר למסך את המקור שלהם. כעת, תוקפי BEC שחמושים במרחב כתובות מקומיות כדי לתמוך בפעילויות הזדוניות שלהם בנוסף לשמות משתמשים וסיסמאות, יכולים להחביא תנועות, לעקוף דגלי ”מסע בזמן”, ולפתוח שער לביצוע מתקפות נוספות. Microsoft צפה בגורמי איומים באסיה ובמדינות מזרח אירופה פורסים את הטקטיקה הזאת בתדירות הגבוהה ביותר.

מסע בזמן הוא זיהוי שמשמש לציין שייתכן שחשבון המשתמש נחשף לסכנה. התראות אלה מסמנות בדגל הגבלות פיזיות שמעידות על משימה שבוצעה בשני מיקומים, ללא כמות הזמן המתאימה לנוע ממיקום אחד לאחר.

ההתמחות והאיחוד של מגזר זה של כלכלת פשעי הסייבר יכולים להסלים את השימוש בכתובות IP למגורים כדי לחמוק מזיהוי. כתובות IP למגורים שממופות למיקומים בקנה מידה, מספרות את היכולת וההזדמנות לפושעי סייבר לאסוף כמויות בנפח גדול של פרטי כניסה וחשבונות גישה שנחשפו לסכנה. גורמי איום משתמשים בשירותי IP/proxy שמשווקים ואחרים עשויים להשתמש בהם כדי לחקור את קנה המידה של מתקפות אלה. לדוגמה, לספק שירות IP אחד יש 100 מיליון כתובות IP שניתן לסובב או לשנות אותן בכל שנייה.

בשעה שגורמי איום משתמשים בדיוג כשירות כגון Evil Proxy, ‏Naked Pages ו- Caffeine כדי לפרוס קמפיינים של דיוג ולהשיג פרטי כניסה שנחשפו לסכנה, BulletProftLink מציעה עיצוב שער מבוזר, אשר כולל צמתי בלוקצ'יין ציבוריים למחשב אינטרנט כדי לארח אתרי דיוג ו- BEC, אשר יוצרים הצעת אינטרנט מבוזרת מתוחכמת אף יותר שהרבה יותר קשה לשבש אותה. שיבוש התשתית של אתרים אלה בין המורכבות והגידול המתפתח של בלוקצ'יינים ציבוריים, הופך את פעולות הזיהוי ותיאום ההשבתה שלהם למורכבות יותר. בשעה שאתה יכול להסיר קישור דיוג, התוכן נשאר באינטרנט, ופושעי סייבר חוזרים כדי ליצור קישור חדש לתוכן CaaS קיים.

מתקפות BEC מוצלות עולות לארגונים מאות מיליוני דולרים מדי שנה. בשנת 2022, צוות נכס השחזור של ה- FBI יזם את שרשרת ההתקפה על הונאה פיננסית על 2,838 תלונות BEC שכוללות עסקאות מקומיותעם הפסקים פוטנציאליים של מעל 590$USD מיליון.

על אף שההשלכות הפיננסיות משמעותיות, נזקים נרחבים בטווח ארוך יותר יכולים לכלול גניבת זהות אם מידע המאפשר זיהוי אישי (PII) נחשף לסכנה, או אובדן של נתונים סודיים אם התכתבות רגישה או קניין רוחני נחשפו להודעת דוא"ל זדונית ולתעבורת הודעה.

דיוג דואר לפי סוג

תרשים עוגה שמציג את ההתפלגות באחוזים של סוגים שונים של הודעות דוא"ל לדיוג שנעשה בהן שימוש במתקפות חשיפה לסכנה של דואר אלקטרוני עסקי. פיתוי הוא הסוג הנפוץ ביותר בשיעור של 62.35%, לאחריו מופיעים גיליון שכר (14.87%), חשבונית (8.29%), כרטיס מתנה (4.87%), מידע עסקי (4.4) וסוג אחר (5.22%).
הנתונים מייצגים תמונת דוח של דיוג BEC לפי סוג מינואר עד 2023 אפריל 2023. קבל מידע נוסף על תמונה זו בעמוד 4 של הדוח המלא

יעדים מובילים עבור BEC הם מנהלים בכירים ומובילים בכירים אחרים, מנהלים פיננסיים, צוות משאבי אנוש שמחזיקים בגישה לרשומות עובדים כגון מספרי ביטוח לאומי, הצהרות מס ו- PII אחרות. עובדים חדשים, שהסבירות שיאמתו בקשות דוא"ל לא מוכרות אולי נמוכה יותר, גם מהווים יעד. כמעט על הצורות של מתקפות BEC נמצאות בעליה. המגמות המובילות עבור BEC שהוצבו כיעד כוללות פיתוי, גיליון שכר, חשבונית, כרטיס מתנה ומידע עסקי.

מתקפות BEC נבדלות בתעשיית פשעי הסייבר בשל הדגש שלהן על הנדסה חברתית ואמנות ההונאה. במקום ניצול פגיעויות במכשירים שלא תוקנו, אופרטורים של BEC שורפים לנצח את שטף תעבורת הדוא”ל היומית והודעות אחרות, כדי לפתות קרבנות למתן מידע פיננסי, או כדי לנקוט הפעולה ישירה עגון שליחת כספים שלא במודע לחשבונות מעבירי כספים, אשר עוזרים לפושעים לבצע העברות כספים במרמה

בניגוד למתקפת תוכנת כופר ”מרעישה” שכוללת הודעות סחיטה משבשות, אופרטורים של BEC פועלים בצורה די מהימנה באמצעות תאריכי יעד מתוכננים ודחיפות כדי לדרבן נמענים, שייתכן שדעתם מוסחת או שהם מורגלים לסוגים אלה של בקשות דחופות. במקום תוכנה זדונית חדשה, יריבי BEC מתאמים את הטקטיקות שלהם כך שיתמקדו בכלים שמשפרים את קנה המידה, את הסבירות ואת שיעור ההצלחה של הודעות זדוניות בתיבות הדואר הנכנסות

על אף שהיו מספר מתקפות בפרופיל גבוה שניצלו כתובות IP למגורים, Microsoft משתפת את החששות של רשויות אכיפת החוק וארגונים אחרים לגבי כך שקנה המידה של מגמה זו יכול לגדול במהירות, מה שיקשה במקרים מסוימים לזהות פעילות באמצעות התראות והודעות מסורתיות.

שונויות במיקומי התחברות אינן זדוניות באופן תורשתי. לדוגמה, משתמש עשוי לגשת לאפליקציות עסקיות באמצעות מחשב נישא דרך Wi-Fi מקומי ובו-זמנית להתחבר לאותן אפליקציות עבודה בטלפון הלכם שלהם דרך רשת סלולרית. לכן ארגונים יכולים להתאים ערכי סף של דגל למסע בזמן שמבוססים על סבילות הסיכון שלהם. עם זאת, קנה המידה התעשייתי של כתובת IP שהפכה למקומית עבור מתרפות BEC, יוצר סיכונים חדשים עבור ארגונים, בשעה ש- BEC מסתגלת ותוקפים אחרים משתמשים יותר ויותר באפשרות של ניתוב דואר זדוני ופעילות אחרות באמצעות שטח כתובת שנמצא בסמוך ליעדים.

המלצות:

  • מקסם את הגדרות האבטחה שמגינות על תיבת הדואר הנכנס שלך: ארגונים יכולים לקבוע את התצורה של מערכות הדואר שלהם כך שיסמנו בדגל הודעות שנשלחות מצדדים חיצוניים. הפעל התראות למקרים שבהם שולחי דואר אינם מאומתים. חסום שולחים בעלי זהויות שינך יכולים לאשר בבטחה ודווח על הדואר שלהם כדיוג או ספאם באפליקציות דוא״ל.
  • הגדר אימות חזק: הפוך את הדוא“ל שלך לקשה יותר לחשיפה לסכנה על-ידי הפעלת אימות רב-גורמי, שדורש קוד, PIN או טביעת אצבע כדי להיכנס וכן סיסמה. חשבונות מותאמים ל- MFA עמידים יותר לסכנה של פרטי כניסה שנחשפים לסכנה ולניסיונות התחברות במתקפת brute-force, ללא קשר לשטח הכתובת שבה התוקפים משתמשים.
  • אמן עובדים לזהות סימני אזהרה: למד את העובדים לזהות הודעות דוא"ל של הונאה או הודעות דוא"ל זדוניות אחרות, כגון חוסר התאמה בין התחום לכתובות הדואר האלקטרוני, והסכנה והעלות שמשויכים למתקפות BEC מוצלחות.

המלחמה בחשיפה דואר אלקטרוני עסקי לסכנה דורשת דריכות וערנות

על אף שגורמי איום יצרו כלים מיוחדים כדי להקל על BEC, כולל ערכות דיוג ורשימות של כתובות דואר אלקטרוני מאומתות שמציבות ליעד מנהלי C-Suite, הפניות לחשבונות תשלום ותפקידים ספציפיים אחרים, ארגונים יכולים להשתמש בשיטות שמקדימות תרופה למכה של מתקפות שממתנות את הסיכון.

לדוגמה, מדיניות אימות, דיווח ותאימות של מודעות על בסיס תחום (DMARC) של ”דחייה” מספקת את ההגנה הטובה ביותר מפני דוא"ל מזויף, מבטיחה שהודעות שלא אומתו יידחו בשרת הדואר, אפילו לפני המסירה. בנוסף, דוחות DMARC מדפסקים מנגנון שבאמצעותו ארגון יוכל להיות מודע למקור של זיוף גלוי, מידע שבדרך-כלל הארגון לא היה מקבל.

על-אף שארגונים עוסקים כבר מספר שנים בניהול כוחות עבודה שעובדים מרחוק באופן מלא או באופן היברידי, עדיין נחוצה חשיבה מחדש על מודעות לאבטחה בעידן העבודה ההיברידית. מאחר שעובדים עובדים על יותר ספקים וקבלנים, ואי לכך הם גם מקבלים יותר הודעות דוא"ל ”שנראות לראשונה”, הכרחי שהם יהיו מודעים למשמעות של שינויים אלה בקצבי העבודה וההתכתבות עבור שטח התקיפה שלך.

ניסיונות BEC של גורמי איום יכולים להופיע בצורות רבות - כולל שיחות טלפון, הודעות טקסט, הודעות דוא"ל או הודעות במדיה החברתית. גם הודעות מזויפות שמבקשות אימות ואנשים וחברות מתחזים הן טקטיקות נפוצות.

שלב הגנתי ראשוני טוב הוא חיזוק פריטי מדיניות עבור חשבונאות, בקרות פנימיות, גיליון שכר או מחלקות משאבי אנוש לגבי אופן התגובה כאשר מתקבלות בקשות או הודעות לגבי שינויים בנוגע אמצעי תשלום, בנקאות או העברות בנקאיות. לקיחת צעד לאחור לבקשות הכנסה צדדית שבאופן חשוד לא פועלות לפי פריטי המדיניות או יצירת קשר עם הישות המבקשת למרות האתר או הנציגים החוקיים שלה, יכולים להציל ארגונים מפני הפסדים מטלטלים.

מתקפות BEC מהוות דוגמה נהדרת לסיבה שיש לטפל בסכנת סייבר בדרך חוצת פונקציונליות מול מנהלים בכירים ומובילים, עובדים במחלקת הכספים, מנהל משאבי אנוש ואנשים אחרים בעלי גישה לרשומות עובדים, כגון מספרי ביטוח לאומי, הצהרות מס, פרטי קשר ולוחות זמנים, שמופיעים בטבלה לצד פקידים בכירים במחלקת IT, תאימות וסכנת סייבר.

המלצות:

  • השתמש בפתרון דוא"ל בטוח: פלטפורמות הענן של דוא"ל של ימינו משתמשות ביכולות בינה מלאכותית כגון למידת מכונה, כדי לשפר את ההגנות, להוסיף הכנת דיוג מתקדמת ולזהות העברות הודעות חשודות. אפליקציות ענן עבור דוא"ל ופרודוקטיביות מציעות גם את היתרונות של עדכוני תוכנה אוטומטיים מתמשכים וניהול מרכזי של פריטי מדיניות של אבטחה.
  • אבטח זהויות כדי לאסור על תנועה רוחבית: הגנה על זהויות היא עמוד תווך במאבק ב- BEC. שלוט על הגישה לאפליקציות ונתונים באמצעות אפס אמון ופיקוח אוטומטי על זהות.
  • אמץ פלטפורמת תשלום מאובטחת: שקול מעבר מחשבוניות שנשלחות בדוא“ל אל מערכת שמיועדת באופן ספציפי לאימות תשלומים.
  • לחץ על השהה והשתמש בשיחת טלפון עדי לאמת עסקאות פיננסיות: שיחת טלפון זריזה לאישור משהו היא לגיטימית ושווה את הזמן, במקום להניח את האימות באמצעות תשובה מהירה או לחיצה, שיוכלות להוביל לגניבה. בסס פריטי מדיניות וציפיות שמזכירות לעובדים שחשוב לפנות לארגונים או לאנשים באופן ישיר—ולא להשתמש במידע שמסופק בהודעות חשודות—כדי לבדוק פעמיים בקשות פיננסיות ואחרות.

קבל מידע נוסף אודות BEC וגורמי איום איראניים עם תובנות מפי סיימון קקפובי, אנאליסט בינת איומים בכיר.

נתוני תמונת דוח מייצגים ממוצע שנתי ויומי של ניסיונות BEC שזוהו ונחקרו על-ידי בינת האיומים של Microsoft בין אפריל 2022 לאפריל 2023. יחידת הפשעים הדיגיטליים של Microsoft הנחתה השבתות ייחודיות של כתובת URL לדיוג בין מאי 2022 לאפריל 2023.1

  • 35 מיליון מדי שנה
  • 156,000 מדי יום
  • הורדה והשבתה של 417,678 כתובות URL לדיוג
  1. [1]

    מתודולוגיה: לקבלת נתוני תמונת דוח, הפלטפורמות של Microsoft כולל Microsoft Defender עבור Office, בינת האיומים של Microsoft ויחידת הפשעים הדיגיטליים של Microsoft (‏DCU) סיפקו נתונים אנונימיים לגבי פגיעויות ונתוני מכשיר לגבי פעילות ומגמות של גורם איום. בנוסף, מחקרים השתמשו בנתונים ממקורות ציבוריים, כגון דוח פשעי האינטרנט של לשכת החקירות הפדרלית (FBI) לשנת 2022 וסוכנות הביטחון לאבטחת סייבר ותשתיות (CISA). סטטיסטיקת השער מבוססת על מעורבות של Microsoft DCU בפשע סייבר כשירות משנת 2019 עד 2022. נתוני תמונת דוח מייצגים ממוצע שנתי של ניסיונות BEC שזוהו ונחקרו.

חשיפה לסכנה של דואר אלקטרוני עסקי אותות סייבר אבטחת זהויות דיוג

מאמרים קשורים

תובנות ממומחה בנושא גורם איום איראני, סיימון קקפובי

אנסליט בינת האיומים הבכיר סיימון קקפובי, מדבר על תרגול הדור הבא של מגיני סייבר והתגברות על האחיזה המוחלטת של גורמי איום איראניים.
למידע נוסף

סיכון האבטחה הייחודי של מכשירי IoT/OT

בדוח האחרון שלנו, חקרנו כיצד פעילות גדלה של IoT/OT מובילה לפגיעויות גדולות וחמורות יותר שמנוצלות על-ידי גורמי איומי סייבר מאורגנים.
למידע נוסף

אנטומיה של שטח תקיפה מודרני

כדי לנהל שטח תקיפה שהולך ונהייה מורכב יותר, ארגונים חייבים לפתח מצב אבטחה כולל מקיף. באמצעות שישה תחומים עיקריים של שטח תקיפה, דוח זה יראה לך כיצד בינת האיומים המתאימה יכולה לעזור להטות את המגרש לטובת קבוצת ההגנה.
למידע נוסף

עקוב אחר 'האבטחה של Microsoft'