Företags e -postkompromiss (BEC) fortsätter att kosta offer tusentals – och ibland miljoner – dollar, enligt en ny rapport från Palo Alto Networks hotforskningsgrupp Unit 42.
Säkerhetsteamet gick igenom hundratals. av BEC-fallen var det genomsnittliga bedrägeriförsöket 567 000 USD och det högsta var 6 miljoner USD. Bland de hundratals BEC-fall som enhet 42 behandlat sedan början av förra året fann forskare att 89 procent av offren misslyckades med att aktivera multifaktorautentisering eller följa bästa praxis för dess genomförande.
BEC citeras ofta av FBI som ett av de mest lukrativa cyberbrotten, och brottsbekämpande organ rapporterade förra året att det ledde till 1,87 miljarder dollar i förluster. Offer, enligt forskare i Palo Alto, vill vanligtvis undvika ryktesskada och går ofta inte offentligt, vilket har gjort BEC till ett relativt tyst hot.
Enhet 42 sa att dess säkerhetskonsulter spenderar tusentals timmar på BEC undersökningar, “kamma igenom loggar för att identifiera obehörig aktivitet, avgöra hur obehörig åtkomst inträffade och hitta säkerhetsluckor som måste åtgärdas.”
“Angripare riktade sig till hundratals anställda på ett försäkringsbolag med phishing -e -postmeddelanden. Dessa e -postmeddelanden ledde till ett försök att få inloggningsuppgifter via förfalskade e -postinloggningssidor för Microsoft 365 som såg identiska ut med de legitima som det företaget skapade. Angriparna lyckades få tillgång till några av dessa konton, som tillhörde anställda som inte hade inrättat MFA, vilket i sin tur ledde till att få tillgång till känslig data på en intern Sharepoint -sajt, skriver Unit 42 -forskare Jenna Garbett och Sama Manchanda.
“Angripare fick tillgång till e -postkonton för två anställda vid en klientorganisation som inte lyckades inaktivera äldre autentisering för att synkronisera e -postlådor via IMAP4 och POP3. Det gav hotaktörerna tillgång till allt i båda brevlådorna i över en månad, vilket gjorde det möjligt för dem att samla in personligt identifierbar information (PII) från offrens kontakter. Detta är ett av de vanligaste sätten att kringgå MFA, särskilt i hybridmiljöer som har legitim användning för äldre protokoll. “
Forskarna gav andra exempel, inklusive en som involverar hotaktörer som “komprometterade flera användare på en arbetsförmedlingsbyrå och sedan använde dessa konton för att cirkulera jobbannonser som bad mottagarna att tillhandahålla personlig information.”
De satte upp regler som flyttade alla svar till dolda mappar och vidarebefordrade dem till ett externt konto, tillade de två forskarna. De noterade i bloggen att de flesta av de bästa e -postplattformarna – inklusive Microsofts 365 och Exchange, samt Google Workspace – erbjuder flera alternativ för att implementera MFA, vilket gör det svårt att förstå varför så många BEC -offer inte lyckas aktivera det.
Men ibland räcker inte ens MFA.
Enhet 42 delade historien om en chef med ett amerikanskt finansföretag som förlitar sig på en utbredd MFA -mobilapp för att skydda sin e -post, kundfiler och andra känsliga uppgifter.
“Hans iPhone fortsatte att pinga honom med MFA -förfrågningar om att få tillgång till hans e -postmeddelande och avbröt honom en dag full av kundmöten. Han blev irriterad över intrånget och tänkte att det var något slags systemfel och avvisade varje begäran så att han kunde fokusera på jobbet . Han trodde att det var över när förfrågningarna slutade, “skrev Garbett och Manchanda.
“Månader senare fick han dock veta att han av misstag hade godkänt en av de många förfrågningarna, utan att medvetet bevilja en angripare obegränsad tillgång till hans e -postmeddelande. Han fick reda på kompromissen när hans bank flaggade misstänkta överföringar på sammanlagt nästan 1 miljon dollar och vår undersökning avslöjade exponeringen av uppgifter som tillhör företaget, dess anställda och kunder.”
I blogginlägget konstateras att företaget kunde återfå de stulna medlen, men att incidenter som detta i många fall är dyra ur anseende och från den tid och de resurser som behövs för att rätta till situationen.
Biträdande chef för hotinformation för enhet 42 Jen Miller-Osborn berättade för ZDNet att de inledningsvis bestämde sig för att titta på ransomware för att se hur mycket det har ökat och den ansträngningen fick dem att titta djupare in i sitt BEC-arbete eftersom de förlorade pengarna är “order” av magnitud högre än ransomware.”
“Det är något som är lite förstådd och som tenderar att inte få lika mycket press. Alla pratar om ransomware nu, det finns mycket mer medvetenhet kring det. Men BEC flyger fortfarande under radarn även om det är den typ av attack som kostar företagen mest pengar, utom inga. Det är den högsta, säger Miller-Osborn.
“I likhet med ransomware ser vi ett ökande antal angripare som kommer in i BEC och vi ser det också mogna till-som Ransomware-as-a-service-BEC-as-a-service. De blir mer tekniskt kunniga. De har varit i varuutrymmet och börjar inkludera offentligt avslöjade sårbarheter. De blir mer professionella. “
BEC -bedragare är nu produktiva på att utvinna LinkedIn och andra webbplatser för information som kan hjälpa deras bedrägerier vidare.
Hon förklarade att utbildning, strängare MFA, äldre autentiseringskontroller, nätverksskydd, kontotillstånd, granskningsloggning och händelseövervakning är några av de sätt som organisationer och människor kan skydda sig mot BEC.
“Med alla som arbetar på distans finns det människor som kanske inte har kommit in i BEC innan som nu, precis som ransomware, de bestämde sig för att gå över till att tjäna pengar. Och jag tror att de problem som vi ser med hur svårt det är att effektivt stoppa dessa ransomware -kampanjer, pekar också på hur svårt det är för BEC, eller ännu svårare, eftersom BEC innehåller många sociala tekniska komponenter som du vanligtvis inte ser med andra attacker, säger hon.
“De kommer faktiskt att ringa och ringa folk och försöka få dem att göra saker. De har pengamulor i andra länder för att hjälpa dem att flytta runt pengarna. Det är mycket mer folkbaserat och i många fall mycket av BEC -bedrägerier involverar ingen skadlig kod, så det finns inget du kunde ha sett. Inget skadligt fäst vid phishing -e -postmeddelanden. Det fanns inget som en brandvägg eller slutpunkt kunde ha upptäckt. “
Säkerhet
Hackare döljer sin skadliga JavaScript-kod med ett svårt trick. Den här nya nätfiskeattacken innehåller en vapeniserad Excel-fil. Har någon annan i hemlighet tillgång till din iPhone eller iPad? Supply chain attacker är hackarens nya favoritvapen Cybersecurity 101: Skydda din integritet från hackare, spioner, regeringen
Relaterade ämnen:
Digital Transformation Security TV Data Management CXO Data Centers 