Microsoft, saldırganların oturum açma girişimlerinin kaynağını gizlemek için yerel olarak oluşturulmuş IP adresleri satın alarak iş e-postası gizliliği (BEC) ve hesap ele geçirme saldırılarında tespit edilmekten kaçınmanın yeni bir yolunu bulduğunu ve böylece yaygın “imkansız seyahat” güvenlik algılamasını atlattığını uyarıyor.
İmkansız bir seyahat bayrağı, bir görev bir konumdan diğerine seyahat etmek için gerekenden daha kısa sürede iki konumda gerçekleştirildiğinde ortaya çıkar; örneğin, Çalışan A her zaman Boston’dan sabah 9’da oturum açarsa, ardından bir oturum Singapur’dan bir saat sonra bir girişim kırmızı bayrak kaldıracaktı. Bununla birlikte, Microsoft araştırmacıları bir blog gönderisinde, kötü amaçlı bir görevin geldiği gerçek kaynak IP adresinin maskelenmesinin “siber suçluların büyük hacimli tehlikeye atılmış kimlik bilgilerini toplama ve hesaplara erişme yeteneği ve fırsatı” sağladığını yazdı.
Tehdit aktörleri, endüstriyel ölçekte kötü amaçlı e-posta kampanyaları oluşturmaya yönelik bir hizmet olan BulletProftLink gibi platformları ve bayraktan kurtulmalarına yardımcı olmak için konut IP hizmetlerini bir arada kullanıyor. Microsoft Güvenlik araştırmacıları açıkladı.
BulletProftLink, temel olarak hizmet olarak siber suç (CaaS) sağlayan BEC’yi işlemek için şablonlar, barındırma ve otomatikleştirilmiş hizmetler dahil olmak üzere uçtan uca bir hizmet satar. Araştırmacılar, bu arada konut IP adreslerinin kötüye kullanılmasının daha yüksek hacimlerde BEC saldırılarına izin verdiği konusunda uyardı. Örneğin bir IP servis sağlayıcının her saniye döndürülebilen veya değiştirilebilen 100 milyon IP adresi vardır.
Microsoft’a göre, “Artık, kullanıcı adları ve parolaların yanı sıra kötü amaçlı faaliyetlerini desteklemek için yerelleştirilmiş adres alanıyla donanmış olan BEC saldırganları, hareketleri gizleyebilir, ‘imkansız seyahat’ işaretlerini atlatabilir ve daha fazla saldırı gerçekleştirmek için bir ağ geçidi açabilir.” Asya ve Doğu Avrupa’daki tehdit aktörleri bu taktiği en sık uygulayanlardır.
Artan Ticari E-posta Uzlaşması Dalgası
Uyarı, sayıları artan BEC kampanyaları zemininde geliyor. Aslında, FBI bildirdi 2022’de 21.000’den fazla BEC şikayeti kaydettiğini ve bu da 2,7 milyar doları aşan düzeltilmiş kayıplara tekabül ediyor. Microsoft, maaş bordrosu konuları, faturalar, hediye kartları ve iş bilgileri dahil olmak üzere sosyal olarak tasarlanmış kampanyalar arasında en büyük cazibelerin olduğu BEC saldırılarının neredeyse tüm biçimlerinin yükselişte olduğunu söyledi.
“BEC operatörleri, yama uygulanmamış cihazlardaki güvenlik açıklarından yararlanmak yerine, kurbanları finansal bilgi sağlamaya veya bilmeden para katır hesaplarına para göndermek gibi suçluların dolandırıcılık yapmasına yardımcı olan doğrudan bir eylemde bulunmaya ikna etmek için günlük e-posta trafiği ve diğer mesaj denizinden yararlanmaya çalışıyor. para transferleri,” araştırmacılar gönderide yazdı.
Şirket, BEC siber suçluları için en önemli hedeflerin Sosyal Güvenlik numaraları, vergi beyannameleri veya diğer kişisel olarak tanımlanabilir bilgiler gibi çalışan kayıtlarına erişimi olan yöneticiler ve diğer üst düzey liderler, finans yöneticileri ve insan kaynakları personeli olduğunu söyledi.
Araştırmacılar, saldırganların bilinmeyen gönderici e-posta adreslerini doğrulama olasılığı daha düşük olabilecek yeni çalışanları da hedeflemeyi sevdiklerini söyledi. Gerçekten de saldırganlar, sosyal olarak tasarlanmış bir saldırıyla yeni bir çalışanı hedef alarak güvenlik sağlayıcısı Dragos’u başarılı bir şekilde ihlal etti ve şirketin çalışan kabul sürecine giriş yapmalarına izin verdi.
Yerel IP Taktiklerine Karşı Koruma ve Azaltma
“Farklı IP’lerin/proxy’lerin arkasına saklanma”, tehdit aktörleri tarafından on yıldan uzun bir süredir kullanılıyor olsa da, BEC saldırılarında artan kullanımı, kuruluşlara şüpheli ağ faaliyetlerini işaretleme konusunda daha dikkatli olmaları gerektiğini hatırlatmalıdır, diyor biri. güvenlik uzmanı.
Bulut ve SaaS güvenlik firmasının kurucu ortağı ve CEO’su Roy Akerman, kuruluşların bir ağa erişme girişiminin gerçekliğini değerlendirmek için özellikle coğrafi konumdan daha fazlasını kullanması gerektiğini söylüyor. Rezonate. Bunun yerine, tam davranışsal analiz gidilecek yoldur.
Dark Reading’e gönderdiği bir e-postada, “Kimliklerin kullanımını ve çalınmasını sınırlamak için tarayıcı ayrıntıları, gerçekleştirilen eylemler, kullanım şekli ve diğerleri hakkında ek davranışsal bilgiler dikkate alınmalıdır” diyor.
Microsoft, işletmelerin imkansız seyahat bayrağını atlatmaya çalışan BEC kampanyalarını durdurmak için atabilecekleri başka adımlar da olduğunu söyledi. Şirket, kuruluşların posta sistemlerini harici taraflardan gönderilen mesajları işaretleyecek şekilde yapılandırmasını ve ayrıca e-posta gönderenler doğrulanmadığında DMARC’yi ve bildirimleri etkinleştirmesini önerdi.
Araştırmacılar ayrıca, kuruluşların bağımsız olarak doğrulayamayacakları kimliklere sahip gönderenleri engellemesi ve e-posta uygulamalarında e-postalarını kimlik avı veya spam olarak bildirmesi gerektiğini söyledi.
Çok faktörlü kimlik doğrulama (MFA) gibi güçlü kimlik doğrulama ilkeleri oluşturmak, hesaplar oluşturarak BEC kampanyalarını engellemeye de yardımcı olabilir. “saldırganların kullandığı adres alanı ne olursa olsun, güvenliği ihlal edilmiş kimlik bilgileri ve kaba kuvvet oturum açma girişimleri riskine karşı daha dirençli” dedi.
Araştırmacılar, saldırganların hesapları ele geçirmek için BEC ve kimlik avını kullanma sıklığı, devam eden başarı oranları ve bu saldırılarla ilişkili maliyetler göz önüne alındığında, sahte ve kötü niyetli e-postaların nasıl tespit edileceğine ilişkin çalışan eğitiminin bu noktada kuruluşlar arasında yaygın olması gerektiğini söyledi. .