E-mail-svindlere udvikler sig: Sådan beskytter du dig selv
Indholdsfortegnelse:
Cyberkriminelle rasler konstant på virksomhedens dørhåndtag, men få angreb er så luskede og uforskammede som business email compromise (BEC). Dette social engineering-angreb bruger e-mail som en vej ind i en organisation, hvilket gør det muligt for angribere at narre ofre ud af virksomhedens midler.
BEC-angreb bruger ofte e-mail-adresser, der ser ud som om de kommer fra et offers egen virksomhed eller en betroet partner som en leverandør. Disse domæner er ofte stavet forkert eller bruger forskellige tegnsæt til at producere domæner, der ligner en pålidelig kilde, men som er ondsindede.
Ørneøjede medarbejdere kan opdage disse ondsindede adresser, og e-mail-systemer kan håndtere dem ved hjælp af e-mail-beskyttelsesværktøjer som domænebaseret meddelelsesgodkendelse, rapportering og overensstemmelse (DMARC) e-mail-godkendelsesprotokol. Men hvad hvis en angriber er i stand til at bruge et domæne, som alle har tillid til?
Når pålidelige kilder ikke kan stole på
Cybersikkerhedsfirmaet Guardz for nylig opdaget angribere gør netop det. Den 13. marts offentliggjorde den en analyse af et angreb, der brugte Microsofts cloud-ressourcer til at gøre et BEC-angreb mere overbevisende.
Angribere brugte virksomhedens egne domæner og udnyttede lejers fejlkonfigurationer for at fravriste legitime brugere kontrol. Angribere får kontrol over flere M365 organisatoriske lejere, enten ved at overtage nogle eller registrere deres egne. Angriberne opretter administrative konti på disse lejere og opretter deres regler for videresendelse af post.
De misbruger derefter en Microsoft-funktion, der viser en organisations navn, og bruger den til at indsætte en svigagtig transaktionsbekræftelse sammen med et telefonnummer, som de kan ringe til for at få en anmodning om tilbagebetaling. Denne phishing-tekst kommer igennem systemet, fordi traditionelle e-mail-sikkerhedsværktøjer ikke scanner organisationens navn for trusler. E-mailen kommer til offerets indbakke, fordi Microsofts domæne har et godt ry.
Når offeret ringer til nummeret, udgiver angriberen sig som en kundeserviceagent og overtaler dem til at installere malware eller udlevere personlige oplysninger såsom deres loginoplysninger.
En stigende tidevand af BEC-angreb
Dette angreb fremhæver det igangværende spøgelse af BEC-angreb, som er eskaleret over tid. De seneste (2024) data fra FBI rapporteret 55.5 mia. USD i globale BEC-tab mellem 2013 og 2023 – op fra næsten 51 mia rapporteret året før.
Det er heller ikke første gang, at BEC og phishing-angreb er rettet mod Microsoft 365-brugere. I 2023, forskere bemærkede den hurtige stigning i W3LL, et phishing-kit, der specifikt kompromitterede Microsoft 365-konti ved at omgå multi-faktor-godkendelse.
Hvad du kan gøre
Den bedste tilgang til at afbøde BEC-angreb er, som med de fleste andre cybersikkerhedsbeskyttelser, flerlags. Kriminelle kan bryde igennem et lag af beskyttelse, men er mindre tilbøjelige til at overvinde flere forhindringer. Sikkerheds- og kontrolrammer, såsom ISO 27001 og NIST's cybersikkerhedsramme, er gode kilder til foranstaltninger til at hjælpe med at undvige svindlerne. Disse hjælper med at identificere sårbarheder, forbedre e-mailsikkerhedsprotokoller og reducere eksponeringen for legitimationsbaserede angreb.
Teknologisk kontrol er ofte et nyttigt våben mod BEC-svindlere. Brug af e-mail-sikkerhedskontroller såsom DMARC er sikrere end ikke, men som Guardz påpeger, vil de ikke være effektive mod angreb med pålidelige domæner.
Det samme gælder indholdsfiltrering ved hjælp af et af de mange tilgængelige e-mail-sikkerhedsværktøjer. Selvom det ikke ville have fanget den luskede trusselsindlejringsteknik, der blev brugt i angrebet, der blev rapporteret i marts, er det ikke desto mindre en nyttig foranstaltning generelt. Avanceret indholdsanalyse, der ser på organisatoriske felter og metadata, er optimal.
Tilsvarende er politikker for betinget adgang en værdifuld måde at stoppe nogle BEC-angreb på, herunder brugen af multi-factor authentication (MFA). Denne beskyttelse, som bruger en anden out-of-band-godkendelsesmekanisme til at bekræfte brugerens identitet, er dog ikke idiotsikker. Reverse proxy-angreb, hvor angriberen bruger en mellemserver til at høste et offers MFA-legitimationsoplysninger, er velkendte. Et sådant angreb fandt sted i 2022, rettet mod 10,000 organisationer, der brugte M365. Så brug MFA, men stol ikke på det alene.
Få medarbejdere om bord
Mange angreb forhindres ikke af tekniske kontroller, men af en årvågen medarbejder, der kræver bekræftelse af en usædvanlig anmodning. Spredning af beskyttelse på tværs af forskellige aspekter af din organisation er en god måde at minimere risikoen gennem forskellige beskyttelsesforanstaltninger. Det gør mennesker og organisatoriske kontroller nøglen, når man bekæmper svindlere. Gennemfør regelmæssig træning for at genkende BEC-forsøg og verificere usædvanlige anmodninger.
Fra et organisatorisk perspektiv kan virksomheder implementere politikker, der fremtvinger mere sikre processer, når de udfører den slags højrisikoinstruktioner – som store pengeoverførsler – som BEC-svindlere ofte retter sig mod. Adskillelse af opgaver – en specifik kontrol inden for ISO 27001 – er en glimrende måde at reducere risiko på ved at sikre, at det kræver flere personer at udføre en højrisikoproces.
Hastighed er afgørende, når du reagerer på et angreb, der gør det gennem disse forskellige kontroller. Derfor er det også en god idé at planlægge din hændelsesreaktion, før et BEC-angreb indtræffer. Opret spillebøger for formodede BEC-hændelser, herunder koordinering med finansielle institutioner og retshåndhævelse, der klart beskriver, hvem der er ansvarlig for hvilken del af svaret, og hvordan de interagerer.
Kontinuerlig sikkerhedsovervågning – et grundlæggende princip i ISO 27001 – er også afgørende for e-mailsikkerhed. Roller skifter. Folk går. At holde et vågent øje med privilegier og se efter nye sårbarheder er afgørende for at holde farer på afstand.
BEC-svindlere investerer i at udvikle deres teknikker, fordi de er rentable. Det eneste, der skal til, er et stort fupnummer for at retfærdiggøre det arbejde, de lægger i at målrette nøgleledere med økonomiske anmodninger. Det er det perfekte eksempel på forsvarerens dilemma, hvor en angriber kun skal lykkes én gang, mens en forsvarer skal lykkes hver gang. Det er ikke de odds, vi gerne vil have, men at sætte effektive kontroller på plads hjælper med at balancere dem mere retfærdigt.
