E-pos-swendelaars ontwikkel: Hier is hoe om jouself te beskerm
INHOUDSOPGAWE:
Kubermisdadigers rammel voortdurend korporatiewe deurknoppe, maar min aanvalle is so slinks en brutaal soos besigheids-e-pos-kompromie (BEC). Hierdie sosiale ingenieursaanval gebruik e-pos as 'n pad na 'n organisasie, wat aanvallers in staat stel om slagoffers uit maatskappyfondse te mislei.
BEC-aanvalle gebruik gereeld e-posadresse wat lyk of dit van 'n slagoffer se eie maatskappy of 'n betroubare vennoot soos 'n verskaffer kom. Hierdie domeine word dikwels verkeerd gespel, of gebruik verskillende karakterstelle om domeine te produseer wat soos 'n betroubare bron lyk, maar kwaadwillig is.
Arendoog-werknemers kan hierdie kwaadwillige adresse opmerk, en e-posstelsels kan dit hanteer met behulp van e-posbeskermingsnutsgoed soos die Domein-gebaseerde Boodskapverifikasie, Rapportering en Konformiteit (DMARC) e-posverifikasieprotokol. Maar wat as 'n aanvaller 'n domein kan gebruik wat almal vertrou?
Wanneer betroubare bronne nie vertrou kan word nie
Kuberveiligheidsmaatskappy Guardz Onlangs ontdek aanvallers wat net dit doen. Op 13 Maart het dit 'n ontleding gepubliseer van 'n aanval wat Microsoft se wolkbronne gebruik het om 'n BEC-aanval meer oortuigend te maak.
Aanvallers het die maatskappy se eie domeine gebruik en gebruik gemaak van wankonfigurasies van huurders om beheer van wettige gebruikers te ontneem. Aanvallers kry beheer oor verskeie M365 organisatoriese huurders, hetsy deur sommige oor te neem of deur hul eie te registreer. Die aanvallers skep administratiewe rekeninge op hierdie huurders en skep hul posaanstuurreëls.
Hulle misbruik dan 'n Microsoft-kenmerk wat 'n organisasie se naam vertoon, en gebruik dit om 'n bedrieglike transaksiebevestiging in te voeg, saam met 'n telefoonnommer om te bel vir 'n terugbetalingversoek. Hierdie uitvissing-teks kom deur die stelsel omdat tradisionele e-possekuriteitnutsmiddels nie die organisasie se naam vir bedreigings skandeer nie. Die e-pos kom na die slagoffer se inkassie omdat Microsoft se domein 'n goeie reputasie het.
Wanneer die slagoffer die nommer bel, doen die aanvaller hom voor as 'n kliëntediensagent en oorreed hulle om wanware te installeer of persoonlike inligting soos hul aanmeldbewyse te oorhandig.
'n Toenemende gety van BEC-aanvalle
Hierdie aanval beklemtoon die voortdurende spook van BEC-aanvalle, wat mettertyd toegeneem het. Die mees onlangse (2024) data van die FBI berig $55.5 miljard in wêreldwye BEC-verliese tussen 2013 en 2023 – meer as byna $51 miljard die vorige jaar gerapporteer.
Dit is ook nie die eerste keer dat BEC en phishing-aanvalle Microsoft 365-gebruikers geteiken het nie. In 2023 het navorsers opgemerk die vinnige styging in W3LL, 'n uitvissingstel wat spesifiek Microsoft 365-rekeninge in die gedrang gebring het deur multi-faktor-verifikasie te omseil.
Wat jy kan doen
Die beste benadering om BEC-aanvalle te versag, is, soos met die meeste ander kuberveiligheidsbeskermings, meerlaags. Misdadigers kan dalk deur een laag beskerming breek, maar is minder geneig om verskeie hindernisse te oorkom. Sekuriteit- en beheerraamwerke, soos ISO 27001 en NIST se kuberveiligheidsraamwerk, is goeie bronne van maatreëls om die swendelaars te help ontduik. Dit help om kwesbaarhede te identifiseer, e-possekuriteitprotokolle te verbeter en blootstelling aan geloofwaardigheidsgebaseerde aanvalle te verminder.
Tegnologiese kontroles is dikwels 'n nuttige wapen teen BEC-swendelaars. Die gebruik van e-possekuriteitskontroles soos DMARC is veiliger as nie, maar soos Guardz uitwys, sal dit nie effektief wees teen aanvalle wat vertroude domeine gebruik nie.
Dieselfde geld vir inhoudfiltrering met behulp van een van die vele beskikbare e-possekuriteitnutsmiddels. Alhoewel dit nie die skelm-bedreigingstegniek wat gebruik is in die aanval wat in Maart aangemeld is, sou gevang het nie, is dit nietemin 'n nuttige maatreël in die algemeen. Gevorderde inhoudontleding wat na organisatoriese velde en metadata kyk, is optimaal.
Net so is voorwaardelike toegangsbeleide 'n waardevolle manier om sommige BEC-aanvalle te stop, insluitend die gebruik van multi-faktor-verifikasie (MFA). Hierdie beskerming, wat 'n tweede out-of-band-verifikasiemeganisme gebruik om die gebruiker se identiteit te bevestig, is egter nie onfeilbaar nie. Omgekeerde proxy-aanvalle, waarin die aanvaller 'n intermediêre bediener gebruik om 'n slagoffer se MFA-geloofsbriewe te oes, is welbekend. Een so 'n aanval het in 2022 plaasgevind en 10,000 365 organisasies wat MXNUMX gebruik, geteiken. Gebruik dus MFA, maar moenie net daarop staatmaak nie.
Kry werknemers aan boord
Baie aanvalle word nie deur tegniese kontroles gekeer nie, maar deur 'n waaksame werknemer wat verifikasie van 'n ongewone versoek eis. Die verspreiding van beskerming oor verskillende aspekte van jou organisasie is 'n goeie manier om risiko te verminder deur middel van verskeie beskermingsmaatreëls. Dit maak mense en organisatoriese kontroles die sleutel wanneer swendelaars beveg word. Doen gereelde opleiding om BEC-pogings te herken en ongewone versoeke te verifieer.
Vanuit 'n organisatoriese perspektief kan maatskappye beleide implementeer wat veiliger prosesse afdwing wanneer die soort hoërisiko-instruksies uitgevoer word – soos groot kontantoordragte – wat BEC-swendelaars dikwels teiken. Skeiding van pligte – ’n spesifieke beheer binne ISO 27001 – is ’n uitstekende manier om risiko te verminder deur te verseker dat dit veelvuldige mense neem om ’n hoërisiko-proses uit te voer.
Spoed is noodsaaklik wanneer jy reageer op 'n aanval wat wel deur hierdie verskillende kontroles kom. Daarom is dit ook 'n goeie idee om jou voorvalreaksie te beplan voordat 'n BEC-aanval plaasvind. Skep speelboeke vir vermoedelike BEC-voorvalle, insluitend koördinering met finansiële instellings en wetstoepassing, wat duidelik uiteensit wie verantwoordelik is vir watter deel van die reaksie en hoe hulle interaksie het.
Deurlopende sekuriteitsmonitering – 'n fundamentele beginsel van ISO 27001 – is ook deurslaggewend vir e-possekuriteit. Rolle verander. Mense vertrek. Om 'n waaksaam oog op voorregte te hou en na nuwe kwesbaarhede te kyk, is van kritieke belang om gevare op 'n afstand te hou.
BEC-swendelaars belê in die ontwikkeling van hul tegnieke omdat dit winsgewend is. Al wat nodig is, is een groot bedrogspul om die werk wat hulle insit om sleutelbestuurders met finansiële versoeke te teiken, te regverdig. Dit is die perfekte voorbeeld van die verdediger se dilemma, waarin 'n aanvaller net een keer moet slaag, terwyl 'n verdediger elke keer moet slaag. Dit is nie die kans wat ons wil hê nie, maar om effektiewe beheermaatreëls in plek te stel, help om dit meer regverdig te balanseer.
