Wiadomości phishingowe: przykłady ataków BEC, których nie można zignorować

Wiadomości phishingowe wykorzystujące ataki BEC stanowią poważne zagrożenie bezpieczeństwa dla firm, niezależnie od ich wielkości. Biorąc pod uwagę naszą codzienną zależność od komunikacji e-mailowej, zarówno pracownicy, jak i osoby zajmujące wysokie stanowiska są atrakcyjnymi celami dla cyberprzestępców, którzy chcą przeniknąć do sieci organizacji lub oszukać niczego niepodejrzewających użytkowników.

Ataki BEC – dlaczego są aż tak niebezpieczne?

Wystarczy jeden starannie spreparowany e-mail phishingowy, aby umożliwić intruzom kradzież danych logowania, przejęcie kontroli nad kontami, opróżnienie środków bankowych lub znaczne zakłócenie operacji i systemów, co może skutkować poważnymi konsekwencjami finansowymi i prawnymi. Ponadto specjaliści do spraw cyberbezpieczeństwa z firmy Bitdefender spodziewają się, że rosnąca popularność i coraz większe możliwości narzędzi generatywnej sztucznej inteligencji (AI), takich jak ChatGPT czy Bard, będą w dalszym ciągu napędzać ataki Business Email Compromise (BEC). Jak już omawialiśmy w naszym artykule „Dlaczego generatywna sztuczna inteligencja napędza ataki ransomware za pomocą funkcji językowych, a nie złośliwego kodu?”, generatywna sztuczna inteligencja umożliwia ataki za pomocą języka, a nie kodu, a ataki BEC należą do głównych metod korzystających z tej nowej technologii.

Niezależnie od tego, czy chodzi o zdolność narzędzia do przyjęcia języka specyficznego dla branży, czy o jego zdolność do naśladowania stylów pisania z poprzednich przykładów, ataki te będą coraz bardziej widoczne. Według najnowszego „Raportu z dochodzeń w sprawie naruszeń danych” liczba ataków BEC w ciągu ostatniego roku niemal się podwoiła i przewidujemy, że tendencja ta będzie się utrzymywać.

Innym istotnym powodem rosnącej częstotliwości ataków BEC jest wzrost liczby „miękkich” ataków na łańcuch dostaw. Podmioty zagrażające mogą przenieść się z jednej ofiary do bardziej lukratywnego celu, wykorzystując metody zdalnego dostępu, takie jak federacja sieci, lub stosując ataki BEC.

Cyberprzestępcy mogą wykorzystać słabe zabezpieczenia mniejszej firmy jako odskocznię do infiltracji większych, bardziej lukratywnych celów. Wielokrotnie omawialiśmy już tę eskalację ataków, podkreślając, że Twoje znaczenie dla tych podmiotów zagrażających nie zawsze zależy od konkretnych posiadanych danych lub zasobów, ale raczej od Twoich powiązań z większymi firmami lub konkretnymi branżami. Na przykład mały wykonawca posiadający zaledwie pięć komputerów może początkowo nie być atrakcyjnym celem dla podmiotów stowarzyszonych z oprogramowaniem ransomware. Jeśli jednak nawiązują współpracę z większą firmą, ich wartość dla podmiotów zagrażających nagle gwałtownie rośnie.

Aby chronić swoją firmę, reputację i finanse, Ty i Twoi pracownicy powinniście być na bieżąco z najnowszymi trendami w zakresie phishingu, które zagrażają egzystencji Twojej organizacji. W dalszej części tego artykułu przyjrzymy się najczęstszym fałszywym i złośliwym e-mailom biznesowym, na które powinieneś uważać.

Zasadzka na załączniki: przemycanie złośliwego oprogramowania do rutynowych wiadomości e-mail

Twoja firma niewątpliwie każdego miesiąca otrzymuje wiele rachunków elektronicznych. Ułatwia to cyberprzestępcom upuszczanie złośliwej korespondencji w celu nakłonienia Cię do wdrożenia złośliwego oprogramowania, które pozwala im kraść dane uwierzytelniające i dane finansowe lub wyrządzać poważne szkody w Twojej sieci.

Po infiltracji firmy cyberprzestępcy często podejmują prosty, ale skuteczny krok: sprawdzają folder „Elementy wysłane” w kliencie poczty e-mail. Jeśli znajdą jakieś e-maile dotyczące ostatnich zamówień, po prostu przekażą e-mail do tej samej rozmowy, stwierdzając, że wystąpił błąd i wysyłając zaktualizowane zamówienie. Strategia ta jest prosta, ale działa dobrze, ponieważ opiera się na wcześniejszej komunikacji.

W ciągu ostatnich dwóch tygodni badacze z Bitdefender Antispam Lab wyłapali kilka fałszywych e-maili phishingowych dotyczących faktur/zamówień zakupu, których celem było wiele firm.

Powyższa próbka e-maila phishingowego podszywa się pod producenta tekstyliów w Turcji i nakłania odbiorcę do przejrzenia załączonego „ZAMÓWIENIA 6573”. Wiadomość może nie wydawać się niezwykła, ale załączony plik .7z kryje w sobie złośliwy ładunek, który instaluje dobrze znanego trojana zdalnego dostępu (Agent Tesla) na urządzeniu docelowym.

Agent Tesla to popularny złodziej danych wykorzystywany na etapach rozpoznania i gromadzenia danych w przypadku bardziej niszczycielskich ataków, takich jak oprogramowanie ransomware. Złośliwe oprogramowanie zbiera wrażliwe dane z zainfekowanych maszyn i eksfiltruje skradzione informacje za pośrednictwem protokołu SMTP z powrotem na konto e-mail kontrolowane przez osoby atakujące.

Poniżej znajduje się kolejny przykład sytuacji, w której cyberprzestępcy wykorzystują złośliwy załącznik podszywający się pod kopię faktury. Załącznik służy również do ukrywania szkodliwego ładunku, który po uzyskaniu dostępu powoduje wdrożenie Agenta Tesli w systemie celu.

Pamiętaj, że cyberprzestępcy mogą dokonać szczegółowego researchu, zanim zaatakują Ciebie i Twoich pracowników. Mogą wyszukać dostawców i osoby, z którymi współpracujesz, aby dostarczyć bardzo przekonujące komunikaty i zapewnić maksymalną wydajność swoich ataków BEC.

Poza załącznikami: jak e-maile mogą zbierać Twoje dane

Nie wszystkie przechwycone próby phishingu wymierzone w Twoją firmę muszą koniecznie zawierać złośliwe załączniki. W poniższym e-mailu oszuści podszywają się pod Holenderską Izbę Handlową (KVK), aby wykraść dane osobowe przedsiębiorców. Odbiorcy są informowani, że ich firma nie jest już zarejestrowana w rządowym rejestrze handlowym i proszeni są o aktualizację swoich danych osobowych poprzez wypełnienie formularza.

„Izba Handlowa sprawdza, czy spółki zarejestrowane w rejestrze handlowym nadal działają” – czytamy w przetłumaczonej maszynowo wersji e-maila. „Robimy to, ponieważ rejestr handlowy musi odzwierciedlać obecne firmy w Holandii. Z informacji organów podatkowych wynika, że Twoja rejestracja nie pojawia się już w tym pliku jako aktywna firma.

„Czy wierzysz, że Twoja firma nadal działa? Następnie prosimy o aktualizację swoich aktualnych danych w ciągu 3 dni roboczych od daty tej wiadomości.”

Odbiorcy są zobowiązani do podania swojego imienia i nazwiska, nazwy firmy, kodu pocztowego, numeru domu, numeru telefonu komórkowego, numeru telefonu prywatnego, adresu e-mail i daty urodzenia. Po zebraniu oszuści mogą wykorzystać dane, aby lepiej namierzyć Ciebie i Twoją firmę oraz przeprowadzić oszustwo.

Element ludzki: manipulowanie odbiorcami poprzez władzę i pilność

Zespół Bitdefender zauważył także, jak cyberprzestępcy wykorzystują zwykłe zwodnicze wiadomości e-mail w celu uzyskania poufnych informacji i naruszenia bezpieczeństwa sieci. Jednak czasami wiadomości phishingowe są bardziej ukierunkowane na odbiorcę.

Wiadomości e-mail typu spear phishing opierają się na kilku taktykach mających na celu oszukanie ofiar. W szczególności napastnicy podszywają się pod znajomy poziom władzy w organizacji i przekazują poczucie pilności, próbując skłonić użytkownika do przeoczenia jego normalnej oceny lub protokołów.

W poniższych przykładach cyberprzestępcy podszywają się pod szefa lub menedżera odbiorcy. Do próśb zwykle dołączana jest prośba osobista lub polecenie służbowe, które może obejmować zakup kart podarunkowych lub przedpłaconych kart debetowych oraz realizację przelewów bankowych. Ponadto napastnicy zawsze wspominają, że prośba jest poufna, proszą Cię o przejście na inną platformę komunikacyjną lub wymyślają wymówkę, dlaczego nie mogą rozmawiać z Tobą bezpośrednio przez telefon (problemy zdrowotne, takie jak zapalenie krtani).

Przykłady e-maili typu spear phishing:

Wnioski i rekomendacje w sprawie ataków BEC

Celem ataków BEC mogą być zarówno małe, jak i duże organizacje, a ich przekonujący i niepozorny charakter sprawia, że są one wysoce dochodowym oszustwem.

Identyfikacja sygnałów ostrzegawczych w wiadomościach phishingowych skierowanych do Twojej firmy i pracowników może uratować reputację Twojej organizacji i pieniądze.

Poniżej znajduje się pięć oznak, że masz do czynienia z próbą ataku BEC:

• Pilne prośby i powiadomienia o weryfikacji kont i aktualizacji informacji w mniej oczekiwanych okresach, takich jak sezon wakacyjny, koniec harmonogramu pracy i weekendy.
• Fałszywy adres e-mail z nieznaną domeną i błędami ortograficznymi.
• Prośby o natychmiastowe działanie i otwarcie załączników lub kliknięcie linków.
• Twierdzenia, że konto finansowe zostało zablokowane lub naruszone, a płatności zostały zawieszone.
• Prośby o płatność lub zmianę szczegółów płatności, zwykle opatrzone tematami, takimi jak „szybka prośba”, „poufna prośba”, „ważna płatność”.

Choć wiele firm kładzie nacisk na szkolenie i edukację pracowników, co jest w dalszym ciągu ważne, niezwykle istotne jest uzupełnienie tych wysiłków solidnymi rozwiązaniami technologicznymi. Poleganie wyłącznie na użytkownikach końcowych nie jest wystarczające w aktualnym krajobrazie cyberniebezpieczeństw. Dlatego warto rozważyć wdrożenie poniższych narzędzi, dzięki którym Twoja firma będzie mogła ustrzec się ataków BEC:

• Ochrona poczty e-mail — niezależnie od tego, czy Twój system poczty e-mail działa lokalnie, czy w chmurze, upewnij się, że masz niezawodne rozwiązanie do ochrony poczty e-mail. Powinno to obejmować zaawansowane filtry spamu, skanery złośliwego oprogramowania i technologie antyphishingowe.
• Ochrona przed złośliwym oprogramowaniem — wdrażaj rozwiązania zabezpieczające punkty końcowe, które są w stanie wykrywać i blokować złośliwe załączniki dołączane do wiadomości e-mail. Rozwiązania te powinny obejmować zaawansowane funkcje, antywirusowe, wykrywania zagrożeń i Sandboxu. Przykładem takiego produktu jest Bitdefender GravityZone Ultra.
• Filtry reputacji IP/URL/domeny — wdrażaj filtry reputacji adresów IP, URL i domen na wszystkich punktach końcowych, aby blokować dostęp do złośliwych lub przejętych adresów. Filtry te mogą działać jako druga linia obrony, uniemożliwiając użytkownikom dostęp do znanych niebezpiecznych witryn.
• Możliwości wykrywania i reagowania — pomimo Twoich największych wysiłków nadal istnieje możliwość, że współczesne podmioty zagrażające przedostaną się przez Twoje mechanizmy zapobiegania i ochrony. W tym miejscu wchodzą w grę Twoje możliwości wykrywania i reagowania. Niezależnie od tego, czy otrzymujesz te funkcje jako produkt (EDR/XDR), czy jako usługę (MDR), celem jest zminimalizowanie czasu, w którym podmioty zagrażające pozostają niewykryte.