Базирующиеся в Израиле злоумышленники демонстрируют растущую изощренность атак по электронной почте
16 мая 2023 г.Согласно отчету компании Abnormal Security, занимающейся безопасностью электронной почты, за атаками в последние недели стоит группа угроз, базирующаяся в Израиле. В новом отчете концерна об угрозах отслеживается около 350 компрометаций деловой электронной почты, совершенных группой с февраля 2021 года.
Хотя это не первое нападение из Израиля, оно весьма необычно. По данным Abnormal, 74% всех атак, проанализированных фирмой за последний год, были из Нигерии.
Майк Бриттон, директор по информационной безопасности Abnormal, сказал, что, хотя нет ничего неожиданного в том, что изощренные субъекты угроз появятся из опытной, инновационной технологической экосистемы, Азия, Израиль — фактически Ближний Восток в целом — являются базами для злоумышленников BEC.
«Сравнительно, страны Азии и Ближнего Востока находятся в нижней части списка, только с 1,2% и 0,5% участников BEC соответственно», — сказал он, добавив предостережение: «К сожалению, наше исследование не может окончательно сказать, что субъекты угрозы Израильтяне — просто мы уверены, что они действуют из Израиля (рис. А)».
Рисунок А
Недавно Израиль, как правило, стал мишенью серии DDoS-атак, приуроченных к ежегодной координируемой кампании OpIsrael по кибератакам.
В исследовании сообщается, что после Африки Великобритания является (отдаленным) вторым по значимости источником атак BEC, на которые приходится 5,8% атак, за которыми следуют Южная Африка, США, Турция и Канада.
Бриттон сказал, что изощренность методов злоумышленников показывает, как киберпреступникам, когда-то полагавшимся на общие фишинговые кампании, приходилось адаптироваться к меняющимся оборонительным позициям организаций и обучению сотрудников.
«Вместо обычных фишинговых писем мы наблюдаем рост изощренных BEC-атак с использованием социальной инженерии, которые могут избежать обнаружения во многих организациях», — сказал он.
Согласно исследованию Abnormal, методы атакующих, базирующихся в Израиле, включают:
- Подделка высших руководителей, которые на самом деле будут совершать финансовые операции.
Использование двух персонажей, одного внутри и одного за пределами целевой компании.
Подмена адресов электронной почты с использованием реальных доменов.
Обновление отображаемого имени отправителя, чтобы оно выглядело так, будто электронные письма исходят от генерального директора, если в целевой организации действует политика DMARC, предотвращающая подделку электронной почты.
Перевод электронных писем на язык, который обычно использует их целевая организация.
Abnormal сказал, что структура атак включает внутренние и внешние векторы сообщений — реальных людей, подделку, внутри и за пределами целевой организации — причем первый часто является генеральным директором целевой компании (рис. B).
Рисунок Б
- Атака включает в себя сообщение от «руководителя» фишинговому сотруднику, уведомляющее его о предстоящем приобретении и запрашивающее отправку первоначального платежа.
Затем злоумышленники используют внешний вектор, реального адвоката, практикующего слияния и поглощения, обычно в фирмах за пределами Соединенного Королевства, часто в глобальной фирме KPMG.
«В некоторых кампаниях, когда атака достигла второго этапа, группа просит перевести разговор с электронной почты на голосовой вызов через WhatsApp, чтобы ускорить атаку и свести к минимуму следы улик», — заявили в компании.
В исследовании говорится:
- Злоумышленники нацелены на транснациональные корпорации со средним годовым доходом более 10 миллиардов долларов.
В этих целевых организациях сотрудники из 61 страны на шести континентах получили электронные письма.
Средняя сумма, запрашиваемая при атаке, составляет 712 000 долларов, что более чем в десять раз превышает среднюю сумму атаки BEC.
Большинство электронных писем этой группы угроз написано на английском языке, но они также переведены на испанский, французский, итальянский и японский языки.
Восемьдесят процентов атак этой группы пришлось на март, июнь-июль и октябрь-декабрь.
Бриттон сказал, что, хотя нападавшие находятся в Израиле, мотивация та же, что и у негосударственных субъектов: быстрые деньги. «Интересно, что эти злоумышленники базируются в Израиле, стране, исторически не связанной с киберпреступностью, и которая традиционно была местом, где преобладали инновации в области кибербезопасности», — сказал он.
Он сказал, что фирма наблюдала, как атаки BEC становятся все более серьезными, а запрашиваемая сумма денег была значительно выше, чем у Abnormal с тех пор в прошлом.
«Электронная почта всегда была (и останется) прибыльным вектором атаки для киберпреступников. Из-за этого мы, вероятно, увидим, что злоумышленники продолжают развивать свою тактику, тестировать новые подходы и становиться еще более целенаправленными и изощренными в своих попытках скомпрометировать пользователей электронной почты», — сказал он, добавив, что Slack, Zoom и Microsoft Teams становятся все более важно, когда появляется угроза, когда злоумышленники ищут новые точки входа.
Наглядность и автоматизация обеспечивают защиту от BEC
Помимо обучения потенциальных целей-людей знанию признаков эксплойтов BEC, Abnormal выступает за автоматическую защиту, которая ловит BEC до того, как они достигнут цели, используя поведенческий ИИ для создания базового уровня для нормативного трафика электронной почты и, следовательно, может заблаговременно пинговать аномалии.
«Чтобы учитывать возникающие угрозы в приложениях для совместной работы, консолидация видимости всех инструментов связи значительно повысит способность групп безопасности обнаруживать подозрительные и вредоносные действия — независимо от того, откуда исходят атаки», — сказал Бриттон.
Оригинал