Studiu - Tehnic - LMS-SFC - Cyber Security - Peisajul amenințărilor


Cyber Security

E-mail Spoofing (Falsificarea e-mail-ului)

Ce este falsificarea e-mailului?

E-mail Spoofing (Falsificarea e-mailului) este o formă comună de atac de phishing conceput pentru a face destinatarul să creadă că mesajul provine dintr-o sursă de încredere, autorizată, etc.

Astfel, actorii rău intenționați vor fabrica un antet de e-mail în speranța că vor păcăli destinatarul să creadă că e-mailul respectiv provine de la o sursă autorizată, dând corpului e-mailului o formă cât mai autentică.

Scopul final al falsificării e-mailului este de a determina destinatarul să deschidă un link inserat în corpul e-mailului (declanșând un anume proces de infectare cu malware de orice formă), eventual, chiar să răspundă la solicitare comunicând date de autentificare, informații relevante cum ar fi datele cardurilor bancare, etc, chiar ajungând să facă plăți online.

Un e-mail falsificat este mai mult decât o pacoste, cert tentativă de escrocherie, fiind o comunicare rău intenționată care reprezintă o amenințare semnificativă la adresa securității.

Falsificarea rămâne una dintre cele mai comune forme de atac online, cu 3,1 miliarde de e-mailuri de falsificare a domeniilor livrate pe zi.

Faptul bine-cunoscut că protocoalele de e-mail nu au autentificare încorporată (Simple Mail Transfer Protocol - SMTP nu oferă un mecanism de autentificare a adresei) face ca falsificarea e-mailului să fie o tactică preferată a infractorilor cibernetici din întreaga lume.

Deși mecanismele de autentificare a adreselor de e-mail au fost dezvoltate pentru a combate falsificarea e-mailului, adoptarea acestor mecanisme este încă foarte lentă, menținând majoră utilizarea SMTP.

Ca urmare, persoanele/ organizațiile țintă ale primirii acestor e-mailuri, ce încă utilizează protocolul SMTP, trebuie să fie pregătite să le blocheze înainte ca acestea să poată deveni dăunătoare.

Din acest motiv e-mail spoofing rămâne unul dintre cele mai ușoare atacuri online de efectuat, deoarece necesită puțină experiență tehnică.

Care este scopul falsificarea e-mailului?

Scopul final al trimiterii de la o adresă de e-mail falsificată este de a păcăli destinatarul să deschidă mesajul și fie să facă clic pe un link, fie să răspundă la conținutul acestuia.

Expeditorul se bazează pe uzurparea identității pentru a-și finaliza înșelătoria, cu scopul de a încuraja destinatarul să interacționeze cu conținutul său rău intenționat, fie prin introducerea acreditărilor într-un site, trimiterea de bani direct atacatorului sau descărcarea de programe malware pe computerul său, printre alte acte nefaste.

Nu toate incidentele de falsificare sunt grave. Cu toate acestea, comunicațiile de e-mail falsificate mai dăunătoare pot provoca daune semnificative. Unele dintre riscurile mai grave asociate cu falsificarea includ:

- Inserare malware;

- Furtul de identitate;

- Accesul la active personale/de afaceri;

- Evitarea filtrului spam;

- Daune aduse reputației;

- Pierderi financiare;

Indiferent de scopul atacatorului, falsificarea poate provoca daune grave și perturbări organizațiilor. Înțelegerea modului în care funcționează aceste atacuri este primul pas pentru pregătirea unei strategii de prevenire a falsificarea e-mailului.

În acest sens se poate aminti de BEC (Business Email Compromise) care implică, în special, falsificarea e-mailurilor CEO-ului, directorului financiar, etc ce aduc mari prejudicii în afaceri.

Ce este compromisul e-mailului de afaceri (BEC - Business Email Compromise)?

Business Email Compromise (BEC) este un exploit în care un atacator obține acces la un cont de e-mail de afaceri și imită identitatea proprietarului, pentru a frauda compania și angajații, clienții sau partenerii săi.

Adesea, un atacator va crea un cont cu o adresă de e-mail aproape identică cu cea din rețeaua corporativă, bazându-se pe încrederea asumată între victimă și contul său de e-mail. BEC este uneori descris ca un "atac personal în e-mail".

Realizat de organizații criminale transnaționale care angajează avocați, lingviști, hackeri și ingineri sociali, compromisul e-mailului de afaceri poate lua o varietate de forme. În cele mai multe cazuri, escrocii își vor concentra eforturile asupra angajaților cu acces la finanțele companiei și vor încerca să-i păcălească să efectueze transferuri bancare în conturi bancare considerate a fi de încredere, când, în realitate, banii ajung în conturi deținute de infractori.

BEC exploatează

Într-un exploit BEC, atacatorul folosește de obicei identitatea unei persoane dintr-o rețea corporativă pentru a păcăli ținta sau țintele să trimită bani în contul atacatorului. Cele mai frecvente victime ale BEC sunt, de obicei, companiile care utilizează transferuri bancare pentru a plăti clienții internaționali.

Deși autorii BEC folosesc o combinație de tactici pentru a-și păcăli victimele, un plan comun implică ca atacatorul să obțină acces la o rețea de afaceri care utilizează un atac de tip spear-phishing împreună cu o formă de malware. Dacă atacatorul rămâne nedetectat, acesta poate petrece timp studiind toate fațetele organizației, de la furnizori, la sistemele de facturare, la obiceiurile de corespondență ale directorilor și ale altor angajați.

La un moment potrivit - de obicei, atunci când angajatul care este uzurpat este în afara biroului - atacatorul va trimite un e-mail fals la un angajat din departamentul de finanțe. Se face o solicitare pentru un transfer bancar imediat, de obicei către orice furnizor de încredere. Angajatul vizat crede că banii sunt trimiși în contul așteptat, dar numerele de cont au fost ușor modificate, iar transferul este de fapt depus în contul controlat de grupul infracțional.

În cazul în care frauda de bani nu reușește să fie reperată în timp util, fondurile pot fi adesea aproape imposibil de recuperat, din cauza oricărui număr de tehnici de spălare care transferă fondurile în alte conturi.

Tehnici pentru compromisul e-mailului de afaceri (BEC)

- Falsificarea conturilor de e-mail și a site-urilor web: Mici variații ale adreselor legitime (john.kelly@abccompany.com vs. john.kelley@abccompany.com) păcălesc victimele să creadă că conturile false sunt autentice.

- Spear-phishing: E-mailuri false considerate a fi de la un expeditor de încredere prompt victimele să dezvăluie informații confidențiale pentru a făptașilor BEC.

- Programe malware: Folosit pentru a se infiltra în rețele pentru a avea acces la date și sisteme interne, în special pentru a vizualiza e-mailuri legitime cu privire la finanțele companiei. Aceste informații sunt apoi utilizate pentru a evita să ridice suspiciunile unui funcționar financiar atunci când se prezintă un transfer bancar falsificat. Programele malware permit, de asemenea, infractorilor să obțină acces la datele sensibile ale victimei lor.

Tipuri specifice de BEC

Adesea, mesajele trimise de făptuitori vor urma o serie de arhetipuri. Așa cum este definit de FBI, există 5 tipuri majore de escrocherii BEC:

- Schema de facturi false: Companiile cu furnizori străini sunt adesea vizate de această tactică, în care atacatorii pretind a fi furnizorii care solicită transferuri de fonduri pentru plăți într-un cont deținut de evazioniști.

- Fraudă CEO: Atacatorii pozează ca CEO al companiei sau orice executiv și trimit un e-mail angajaților din finanțe, solicitându-le să transfere bani în contul pe care îl controlează.

- Compromisul contului: Contul de e-mail al unui executiv sau al unui angajat este spart și utilizat pentru a solicita plăți de factură furnizorilor enumerați în contactele lor de e-mail. Plățile sunt apoi trimise către conturi bancare frauduloase.

- Avocat Impersonation: Un atacator va imita un avocat sau un alt reprezentant al firmei de avocatură responsabil pentru chestiuni sensibile. Aceste tipuri de atacuri apar adesea prin e-mail sau telefon, la sfârșitul zilei de lucru, unde victimele sunt angajați de nivel scăzut, fără știrea sau autoritatea de a pune la îndoială validitatea comunicării.

- Furtul de date: Angajații din resurse umane și contabilitate vor fi vizați pentru a obține informații personale sau sensibile în alt mod despre angajați sau directori. Aceste date pot fi foarte utile pentru atacurile viitoare.

Motive pentru falsificarea e-mailului

Deși cel mai bine-cunoscut în scopuri de phishing (comparativ cu spoofing-ul), există de fapt mai multe motive pentru falsificarea adreselor expeditorului. Aceste motive pot include:

- Ascunderea adevăratei identități a expeditorului – deși dacă acesta este singurul obiectiv, acesta poate fi realizat mai ușor prin înregistrarea adreselor de e-mail anonime.

- Evitarea listelor de blocări de spam. Dacă un expeditor trimite spam, acesta este obligat să fie blocat rapid. O soluție simplă la această problemă este comutarea adreselor de e-mail.

- Pretinzând că este o persoană pe care destinatarul o cunoaște, pentru a solicita, de exemplu, informații sensibile sau acces la bunuri personale.

- Pretinzând că provine dintr-o afacere cu care destinatarul are o relație, ca mijloc de a obține reținerea datelor de conectare bancare sau a altor date cu caracter personal.

- Pătând imaginea expeditorului asumat, un atac de caracter care plasează așa-numitul expeditor într-o lumină proastă.

- Trimiterea de mesaje în numele unei persoane poate fi, de asemenea, utilizată pentru a comite furt de identitate, de exemplu, prin solicitarea de informații de la conturile financiare sau de asistență medicală ale victimelor.

Cum se întâmplă?

Cel mai simplu mod de a crea un e-mail fals este ca un atacator să găsească un server de e-mail cu un port SMTP deschis. SMTP include protecții minime și nu are nici o autentificare, astfel încât un port deschis oferă o modalitate ușoară pentru atacatori de a începe o campanie de falsificare.

Atacatorii mai inteligenți pot crea chiar și un server de e-mail separat în întregime. Au existat incidente notabile de atacatori în comiterea de asumare de personal executiv și fraudă, chiar CEO în utilizarea acestei metode, determinând miliarde de dolari în pierderi.

Atacatorii pot crea, de asemenea, e-mailuri cu nume similare organizațiilor sau persoanelor pe care doresc să le falsifice. Este posibil ca utilizatorii obișnuiți să nu-și dea seama că au primit un e-mail fals din cauza formatării similare a celor două adrese. Un exemplu comun include înlocuirea "O" cu "0" sau "l" cu "1".

Suplimentar actorii rău intenționați vor înregistra domenii ușor de confundat pentru compania pe care o uzurpă, de unde provine adresa de mail - de exemplu "@exarnple.com" în loc de "@example.com".

Dar, ca acțiune globală, totul se va rezuma la încercarea ca o terță parte nevinovată să devină infectată cu malware, deturnând sistemul cu scopul de a se iniția trimiterea de e-mailuri fără ca proprietaril să își dea seama.

Falsificarea e-mailului nu este un tip deosebit de sofisticat de atac, dar este, fără îndoială, eficientă. Cei care nu sunt familiarizați cu modul de a fața locului un e-mail falsificate sunt mult mai vulnerabile la care se încadrează pentru aceste atacuri decât cei care au făcut cercetarea lor.

Instrumente utilizate de atacatori

Atacatorii folosesc o varietate de instrumente pentru a-și atinge obiectivele. Pentru a învălui mai eficient înșelăciunea, atacatorii își pot pune ochii pe o țintă și pot efectua recunoaștere prin cercetare. De obicei, o combinație de date personale și disponibile public va sta la baza unei campanii de falsificare concentrată.

Alte instrumente vitale pe care atacatorii le folosesc pentru falsificarea e-mailului includ:

- Server SMTP: Cele mai multe servere SMTP sunt achiziționate prin intermediul unor companii de găzduire web de renume. Uneori, atacatorii pot instala serverul pe propriul sistem folosind portul 25.

- Software-ul de discuții: Acest lucru este folosit pentru a trimite e-mailuri. PHP Mailer este o opțiune populară, deoarece folosește o bibliotecă PHP open-source și este ușor de accesat.

Aceste două instrumente sunt tot ceea ce îi trebuie unui atacator pentru a începe o campanie de falsificare, motiv pentru care 91% din toate atacurile cibernetice de succes încep cu un mesaj de e-mail simplu. Cu ținta dobândită și tot ce trebuie să facă un atacator este să compună un e-mail în PHP Mailer și să introducă orice adresă dorește să țintească în câmpul "De la". Și pentru că este atât de ușor, un atacator poate trimite mii de e-mailuri falsificate pe zi, crescând șansele ca cel puțin câțiva oameni să răspundă.

Cum arată falsificarea e-mailului?

Majoritatea campaniilor de falsificare încearcă să extragă informații personale sau să instaleze programe malware utilizând nume comune de uz casnic, directori cunoscuți sau furnizori prietenoși, încurajând destinatarii să facă clic pe un link din e-mail sau să descarce o atașare. Dacă știți cum să recunoașteți un e-mail fals, știți să nu cădeți pentru trucurile lor.

De exemplu, unul dintre cele mai frecvente tipuri de campanii de falsificare implică PayPal. E-mailul falsificat va pretinde că contul destinatarului a fost suspendat și trebuie să facă clic pe linkul din e-mail pentru a rezolva problema. E-mailul arată oficial, aproape exact ca un e-mail de la PayPal ar face-o.

Dar când utilizatorul face clic pe link- ul, numele de utilizator și parola PayPal vor fi furate prin intermediul domeniului fals. Atunci când acest cont PayPal este asociat cu o afacere, aceste consecințe sunt și mai grave.

Alte exemple de campanii populare de phishing includ:

- Confirmarea cardului de credit: Acest tip de campanie trimite mesaje către mii de consumatori care susțin că este posibil ca informațiile cardului lor de credit să fi fost compromise. Aceste e-mailuri includ un link pentru ca utilizatorul să-și "confirme" detaliile cardului de credit.

- Cerere de transfer bancar: Victima primește un e-mail urgent de la CEO sau alt executiv care solicită un transfer bancar către un partener cunoscut. Din cauza urgenței e-mailului, victima transferă fondurile către partener, fără să-și dea seama că a căzut victimă falsului.

- Cerere de asistență tehnică: Un angajat primește un e-mail de la departamentul IT corporativ, cerându-i să instaleze un software. E-mailul pare real, dar atunci când angajatul acționează, de fapt injectează ransomware direct în rețeaua companiei.

În timp ce multe campanii de falsificare poate părea amator, aceste scenarii exacte au cauzat pierderi de miliarde de dolari pentru persoane fizice și întreprinderi din întreaga lume.

Ce se întâmplă dacă cad victimă e-mailului falsificat?

Consecințele căderii victimei unui atac fals la adresa de e-mail pot fi devastatoare. Informațiile sensibile, cum ar fi parolele, numerele de cont bancar și numerele de securitate socială (SSN) pot fi utilizate pentru a comite furturi de identitate și fraude.

Câteva exemple de consecințe mai grave ale falsificarea e-mailului includ:

- Pierderea veniturilor;

- Scăderea încrederii clienților;

- Fraudă de card de credit;

- Frauda cu utilitățile;

- Scurgeri dark web.

Este sigur să spunem că victimele falsificării își pot vedea operațiunile de afaceri complet epuizate, motiv pentru care a ști cum să oprești falsificarea e-mailurilor este esențial pentru protejarea datelor.

Unele întreprinderi mici care au suferit de un atac fals au avut nevoie de ani de zile pentru a recupera de la pierdere financiară, pur și simplu pentru că au deschis un e-mail sau a făcut clic pe un link un pic prea repede. Și chiar și acele companii mai mari pot vedea consecințe grave, ducând adesea la scăderea prețurilor acțiunilor și la pierderea încrederii consumatorilor.

Cum pot preveni falsificarea e-mailului?

Prima cale, și cea mai recomandată este cea de a folosi protecții de falsificare prin e-mail.

Deoarece protocolul de e-mail SMTP (Simple Mail Transfer Protocol) nu are autentificare, istoric a fost ușor să se falsifice o adresă de expeditor.

Ca urmare, majoritatea furnizorilor de e-mail au devenit experți în detectarea și alertarea utilizatorilor cu privire la spam, mai degrabă decât să respingă e-mailul cu totul. Dar mai multe cadre au fost dezvoltate pentru a permite autentificarea mesajelor primite:

- SPF (Sender Policy Framework): Aceasta verifică dacă un anumit IP este autorizat să trimită e-mailuri de la un anumit domeniu. SPF poate duce la rezultate fals pozitive și necesită în continuare ca serverul destinatar să facă munca de verificare a unei înregistrări SPF și de validare a expeditorului de e-mail.

- DKIM (Domain Key Identified Mail): Această metodă utilizează o pereche de chei criptografice care sunt utilizate pentru a semna mesajele de ieșire și pentru a valida mesajele primite. Cu toate acestea, deoarece DKIM este utilizat numai pentru a semna anumite bucăți ale unui mesaj, mesajul poate fi redirecționat fără a rupe valabilitatea semnăturii. Aceasta este tehnica este menționată ca un "atac de reluare".

- DMARC (Domain-Based Message Authentication, Reporting and Conformance): Această metodă oferă expeditorului opțiunea de a anunța receptorul dacă e-mailul său este protejat de SPF sau DKIM și ce acțiuni trebuie luate atunci când se ocupă de e-mailuri care nu reușesc autentificarea. DMARC nu este încă utilizat pe scară largă.

Deoarece multe organizații nu au protecții de falsificare a e-mailurilor pentru a preveni falsificarea adreselor lor de e-mail, companiile care primesc aceste e-mailuri trebuie să rămână vigilente și să împiedice mesajele falsificate să alunece prin "vulnerabilități".

Deși furnizorii moderni de e-mail utilizează proceduri inteligente de detectare a spamului pentru a elimina automat majoritatea mesajelor falsificate, atacatorii motivați ocolesc aceste filtre tradiționale.

Imaginând cum să opriți falsificarea e-mailurilor pe Gmail și Outlook este necesar un nou tip de platformă de securitate a e-mailului care poate detecta aceste escrocherii.

Organizațiile ar trebui, de asemenea, să ia în considerare instruirea de conștientizare a securității, care poate ajuta angajații să recunoască când ar fi putut primi un e-mail falsificat și să reacționeze la acesta în mod corespunzător.

Apărare împotriva BEC

Există multe modalități de a vă apăra împotriva compromisului prin e-mail de afaceri. Tehnicile comune utilizate includ:

- Reguli de sistem de detectare a intruziunilor: aceste e-mailuri semnalizează cu extensii care sunt similare cu e-mailul companiei. De exemplu, e-mailul legitim al xyx_business.com ar semnala e-mailul fraudulos al xyz-business.com.

- Reguli de e-mail: acestea semnalizează comunicările prin e-mail în care adresa de e-mail "răspuns" este diferită de adresa de e-mail "de la" afișată.

- Codare color: corespondență virtuală, astfel de e-mail-uri de la angajat / conturi interne sunt o culoare și e-mail-uri de la non-angajat / conturi externe sunt un alt.

- Verificarea plății: asigură securitatea prin solicitarea autentificării suplimentare cu doi factori.

- Solicitări de confirmare: pentru transferurile de fonduri cu ceva de genul verificării telefonului ca parte a unei scheme de autentificare cu doi factori. De asemenea, confirmările pot necesita ca numerele de apelare ale companiei să fie utilizate, spre deosebire de numerele furnizate într-un e-mail.

- Analiză atentă: a tuturor cererilor prin e-mail pentru transferul de fonduri pentru a determina dacă solicitările sunt ieșite din comun.

Cum să recunoști falsificarea e-mailului

Există mai multe metode utilizate pentru a recunoaște o campanie coordonată de phishing, mai ales în corelație cu eforturi de spoofing.

Adesea, mesajele falsificate sunt suficient de simple pentru a fi depistate. De exemplu, dacă primiți un e-mail de la Bill Gates sau un prinț nigerian, este destul de evident că aceasta este o înșelătorie.

Dar pentru falsurile mai credibile, cum ar fi exemplul PayPal, uitați-vă la anteturile de e-mail. De exemplu, acordați o atenție deosebită numelui afișat, asigurându-vă că acesta se potrivește cu domeniul de e-mail și că arată ca numele de domeniu de la care vă așteptați să primiți e-mailuri.

În cele din urmă, fiți întotdeauna atenți la orice mesaj care încearcă să creeze un sentiment de urgență. Fiecare solicitare de transferuri bancare, carduri cadou sau informații sensibile trebuie verificată de două ori și confirmată printr-o altă sursă, cum ar fi chat-ul sau apelul telefonic, înainte de a trimite banii sau documentația solicitată.

Cele mai bune practici și sfaturi pentru a evita falsificarea e-mailului

Folosiți SPF, DKIM și/ sau DMARC! Toate organizațiile ar trebui să aibă aceste protecții în vigoare, dar cercetările arată că o majoritate nu o utilizează.

Prin urmare, destinatarii trebuie să ia măsuri pentru a preveni ca aceste atacuri să ocolească infrastructura lor de securitate. În plus, angajații ar trebui să rămână vigilenți și atenți la solicitările de bani sau informații personale.

Alte bune practici includ:

Când un link este prezent și acreditările sunt solicitate, tastați manual în domeniu și accesați orice conturi de acolo, în loc să faceți clic pe orice link-uri de e-mail.

Alocați timp pentru a crește gradul de conștientizare cu privire la falsificarea e-mailului. Companiile pot face acest lucru prin crearea de programe de instruire pentru conștientizarea securității pentru angajați, în special în timpul Lunii conștientizării securității cibernetice.

Copiați și lipiți conținutul e-mailului într-un motor de căutare popular, cum ar fi Google. Șansele sunt ca alții să fi raportat același e-mail ca o înșelătorie deja.

Evitați deschiderea atașărilor de la expeditori suspecți.

În timp ce consecințele căderii victimei în falsificare pot fi sumbre, un angajament față de prevenire poate învinge marea majoritate a campaniilor de phishing.

Concluzie

Campaniile de falsificare primesc rareori aceeași atenție ca ransomware-ul sau alte atacuri de profil înalt. Cu toate acestea, ele merită o conștientizare suplimentară, deoarece duc la pierderi de miliarde de dolari la nivel global pentru persoane fizice și întreprinderi.

Surse:


Dorin M - Ultima actualizare: 14 Octombrie 2021