Spreminjajoči se pristopi na področju ogroženosti poslovne e-pošte

Število napadov kibernetskih kriminalcev, povezanih z ogrožanjem poslovne e-pošte, narašča. Microsoft opaža pomemben trend pri uporabi platform, kot je BulletProftLink, priljubljena platforma za ustvarjanje napadov na pošto v industriji. BulletProftLink prodaja celovito storitev, vključno s predlogami, gostovanjem in avtomatiziranimi storitvami za BEC. Napadalci, ki uporabljajo sistem CaaS, prejmejo poverilnice in naslov IP žrtve.

Napadalci BEC nato kupijo naslove IP pri storitvah IP, ki ustrezajo lokaciji žrtve, in ustvarijo posrednike IP, ki kibernetskim kriminalcem omogočajo, da prikrijejo svoj izvor. Zdaj imajo napadalci BEC poleg uporabniških imen in gesel za svoje zlonamerne dejavnosti na voljo tudi lokalni naslov, zato lahko prikrijejo gibanje, zaobidejo oznake »nemogoče potovanje« in odprejo vrata za nadaljnje napade. Microsoft je opazil, da to taktiko najpogosteje uporabljajo napadalci v Aziji in eni od vzhodnoevropskih držav.

»Nemogoče potovanje« je zaznan pojav, ki nakazuje, da je uporabniški račun morda ogrožen. Ta opozorila označujejo fizične omejitve, ki nakazujejo, da se opravilo izvaja na dveh lokacijah, pri tem pa ni dovolj časa za potovanje z ene lokacije na drugo.

Specializacija in konsolidacija tega sektorja kibernetskega gospodarstva bi lahko povečala uporabo rezidenčnih naslovov IP za izogibanje odkrivanju. Naslovi IP za rezidenčne lokacije, ki so kartirani na lokacije v velikem obsegu, zagotavljajo kibernetskim kriminalcem možnost in priložnost za zbiranje velikih količin ogroženih poverilnic in računov za dostop. Napadalci uporabljajo storitve IP/proxy, ki jih tržniki in drugi lahko uporabljajo za raziskave, da z njimi razširijo te napade. En ponudnik storitev IP ima na primer 100 milijonov naslovov IP, ki jih je mogoče rotirati ali spremeniti vsako sekundo.

Medtem ko napadalci za izvajanje napadov z lažnim predstavljanjem in pridobivanje ogroženih poverilnic uporabljajo storitve, kot so Evil Proxy, Naked Pages in Caffeine, BulletProftLink ponuja decentraliziran prehod, ki vključuje spletna računalniška javna vozlišča z verigo blokov za gostovanje strani z lažnim predstavljanjem in BEC, kar ustvarja še bolj izpopolnjeno decentralizirano spletno ponudbo, ki jo je veliko težje prekiniti. Zaradi porazdelitve infrastrukture teh spletnih mest po kompleksnih in razvijajočih se javnih verigah blokov je njihovo prepoznavanje in usklajevanje sprejetih ukrepov še bolj zapleteno. Čeprav lahko odstranite lažno povezavo, vsebina ostane v spletu in kibernetski kriminalci ponovno ustvarijo novo povezavo do obstoječe vsebine CaaS.

Uspešni napadi BEC organizacije letno stanejo več sto milijonov dolarjev. Leta 2022 je FBI-jeva skupina za izterjavo premoženjske koristi sprožila postopek »Financial Fraud Kill Chain« v zvezi z 2838 pritožbami BEC, ki so vključevale domače transakcije s potencialnimi izgubami v višini več kot 590 milijonov ameriških dolarjev.

Čeprav so finančne posledice znatne, lahko širša dolgoročna škoda vključuje krajo identitete, če so ogroženi osebni podatki, ali izgubo zaupnih podatkov, če so občutljiva korespondenca ali intelektualna lastnina izpostavljeni v zlonamerni elektronski pošti in prometu sporočil.

Čeprav so napadalci ustvarili specializirana orodja za lažjo uporabo BEC, vključno s kompleti za lažno predstavljanje in seznami preverjenih e-poštnih naslovov, ki so namenjeni vodilnim kadrom, vodjem računovodskih servisov in drugim posebnim vlogam, lahko podjetja uporabljajo metode za preprečevanje napadov in zmanjševanje tveganja.

Na primer, pravilnik o preverjanju pristnosti, poročanju in skladnosti (DMARC), ki temelji na domeni, z oznako »zavrni« zagotavlja najmočnejšo zaščito pred lažno e-pošto, saj zagotavlja, da so nepreverjena sporočila zavrnjena v poštnem strežniku še pred dostavo. Poleg tega so poročila DMARC mehanizem, s katerim so lahko organizacije seznanjene z virom očitnega ponaredka – te informacije običajno ne bi prejele.

Čeprav organizacije že nekaj let upravljajo popolnoma oddaljeno ali hibridno delovno silo, je v času hibridnega dela še vedno potreben ponoven razmislek o varnostni ozaveščenosti. Ker zaposleni sodelujejo z več prodajalci in pogodbeniki ter tako prejemajo več »prvič videnih« e-poštnih sporočil, se je treba zavedati, kaj te spremembe v delovnem ritmu in korespondenci pomenijo za vašo tarčo napada.

Poskusi ogrožanja s strani napadalcev BEC se lahko pojavijo v različnih oblikah, na primer telefonski klici, besedilna sporočila, e-pošta ali sporočila v družabnih medijih. Pogosta taktika je tudi ponarejanje sporočil z zahtevami za preverjanje pristnosti ter izdajanje za posameznike in podjetja.

Dober prvi obrambni korak je okrepitev pravilnikov za računovodstvo, notranje kontrole, plače ali kadrovske oddelke. Seznaniti jih je treba s tem, kako se odzvati na prejete zahteve ali obvestila o spremembah v zvezi s plačilnimi instrumenti, bančnimi storitvami ali bančnimi prenosi. Če naredite korak nazaj in odmislite zahteve, ki sumljivo ne upoštevajo pravilnikov, ali se obrnete na subjekt, ki je zaprosil, prek njegovega zakonitega spletnega mesta in predstavnikov, lahko organizacije rešite pred velikimi izgubami.

Napadi BEC so odličen primer, zakaj je treba kibernetsko tveganje obravnavati na medfunkcionalen način, pri čemer morajo za mizo poleg uradnikov za IT, skladnost s predpisi in kibernetsko tveganje sedeti tudi izvršni direktorji in vodje, finančni uslužbenci, vodje kadrovskih služb in drugi, ki imajo dostop do evidenc zaposlenih, kot so številke socialnega zavarovanja, davčni podatki, kontaktni podatki in urniki.

Preberite več o grožnjah BEC in iranskih napadalcih z informacijami Simeona Kakpovija, višjega analitika obveščanja o grožnjah.