Le regole automatizzate della posta in arrivo sono una funzionalità utile e familiare della maggior parte dei programmi di posta elettronica. Aiutano a gestire la tua casella di posta e il flusso quotidiano di messaggi desiderati e indesiderati consentendoti di spostare le e-mail in cartelle specifiche, inoltrarle ai colleghi quando sei assente o eliminarle automaticamente.
Tuttavia, una volta che un account è stato compromesso, gli aggressori possono abusare delle regole della posta in arrivo per mascherare ulteriori attacchi, ad esempio estraendo segretamente informazioni dalla rete tramite inoltro, assicurandosi che la vittima non veda avvisi di sicurezza ed eliminando determinati messaggi.
La posta elettronica come vettore di attacco primario
Sebbene la sicurezza della posta elettronica si sia evoluta e l’uso dell’apprendimento automatico abbia reso più semplice il rilevamento di creazioni sospette di regole di posta in arrivo, gli aggressori continuano a utilizzare questa tecnica con successo. Poiché ciò richiede un account compromesso, i numeri complessivi di questa minaccia sono probabilmente bassi, ma rappresentano comunque una seria minaccia per l'integrità dei dati e delle risorse di un'organizzazione, anche perché la creazione di regole da parte di un utente malintenzionato è una tecnica. è già in rete e sono necessarie contromisure immediate.
Gli attacchi basati su e-mail hanno un alto tasso di successo e rappresentano un punto di ingresso comune per molti altri attacchi informatici. Una ricerca di Barracuda ha rilevato che il 75% delle aziende intervistate in tutto il mondo ha subito almeno una violazione della sicurezza della posta elettronica nel 2022. Questi attacchi vanno da semplici attacchi di phishing e collegamenti o allegati dannosi a sofisticate tecniche di ingegneria sociale come Business Email Compromise (BEC), Conversation Hijacking e Account Takeover. Alcuni dei tipi più avanzati sono associati a regole di posta elettronica dannose.
Regole di posta elettronica automatizzate
Per creare regole e-mail dannose, gli aggressori devono aver compromesso un account di destinazione, ad esempio tramite un'e-mail di phishing riuscita o utilizzando credenziali rubate ottenute in una precedente violazione. Una volta che l'aggressore ottiene il controllo dell'account e-mail della vittima, può impostare una o più regole e-mail automatizzate.
Gli aggressori possono impostare una regola per inoltrare tutte le e-mail con parole chiave sensibili e potenzialmente redditizie come "pagamento", "fattura" o "riservato" a un indirizzo esterno. Inoltre, possono anche abusare delle regole di posta elettronica per nascondere determinate email in arrivo spostando questi messaggi in cartelle utilizzate raramente, contrassegnando le email come lette o semplicemente eliminandole. Ad esempio, per nascondere avvisi di sicurezza, messaggi di comando e controllo o risposte a e-mail interne di spear phishing inviate dall'account compromesso o per coprire le tracce del proprietario dell'account che probabilmente utilizzerà l'account utilizzato allo stesso tempo senza sapere degli intrusi. Inoltre, gli aggressori possono anche abusare delle regole di inoltro della posta elettronica per monitorare le attività di una vittima e raccogliere informazioni sulla vittima o sulla sua organizzazione da utilizzare in ulteriori attacchi o operazioni.
Attacchi BEC (Business Email Compromise).
Negli attacchi BEC, i criminali informatici tentano di convincere le loro vittime che un'e-mail proviene da un utente legittimo per frodare l'azienda e i suoi dipendenti, clienti o partner. Ad esempio, gli aggressori possono impostare una regola che elimini tutte le email in arrivo da un dipendente o manager specifico, come il Chief Finance Officer (CFO). Ciò consente ai criminali di impersonare un CFO e inviare e-mail false ai dipendenti per convincerli a trasferire i fondi aziendali su un conto bancario controllato dagli aggressori.
Nel novembre 2020, l’FBI ha pubblicato un rapporto su come i criminali informatici stanno sfruttando la mancanza di sincronizzazione e visibilità della sicurezza tra client di posta elettronica basati sul Web e desktop per impostare regole di routing della posta elettronica, aumentando la probabilità di un attacco BEC di successo.
Attacchi e-mail a livello nazionale
Le regole di posta elettronica dannose vengono utilizzate anche negli attacchi mirati a livello nazionale. Il framework MITRE ATT&CK® di tattiche e tecniche avversarie nomina tre APT (Advanced Persistent Threat Group) che utilizzano la tecnica di inoltro di posta elettronica dannosa (T1114.003). Si tratta di Kimsuky, un gruppo nazionale di minacce di spionaggio informatico, LAPSUS$, noto per i suoi attacchi di estorsione e di disturbo, e Silent Librarian, un altro gruppo nazionale legato al furto di proprietà intellettuale e ricerca.
MITRE classifica le regole per nascondere la posta elettronica (T1564.008) come una tecnica utilizzata per aggirare le difese di sicurezza. Un APT noto per utilizzare questa tecnica è FIN4, un attore di minacce motivato finanziariamente che crea regole negli account delle vittime per eliminare automaticamente le e-mail che contengono parole come "hacked", "phish" e contengono "malware", probabilmente per impedire l'accesso dell'IT della vittima squadra dall’informare i dipendenti e gli altri sulle loro attività.
Misure di sicurezza inefficaci
Se una regola dannosa non viene rilevata, rimarrà in vigore anche se la password della vittima viene modificata, viene abilitata l'autenticazione a più fattori, vengono implementate altre rigide policy di accesso condizionato o il computer viene completamente ricostruito. Finché la norma resta in vigore, resta efficace.
Anche se le regole email sospette possono essere un buon indicatore di un attacco, esaminarle isolatamente non è un segnale sufficiente che un account sia stato compromesso. Le difese devono quindi utilizzare più segnali per ridurre le informazioni irrilevanti e avvisare il team di sicurezza di un probabile attacco e-mail riuscito. La natura dinamica ed in evoluzione degli attacchi informatici, compreso l’uso di tattiche sofisticate da parte degli aggressori, richiede un approccio multilivello al rilevamento e alla risposta.
Misure di difesa efficaci
Poiché la creazione di regole per la posta in arrivo è una tecnica post-compromissione, la protezione più efficace è la prevenzione, ovvero impedire in primo luogo agli aggressori di prendere il controllo dell'account. Tuttavia, le organizzazioni necessitano anche di misure efficaci di rilevamento e risposta agli incidenti per identificare gli account compromessi e mitigare l’impatto di questi attacchi. Ciò include la visibilità completa su tutte le azioni intraprese nella casella di posta di ciascun dipendente e su quali regole vengono create, cosa è stato modificato o a cosa si è avuto accesso, la cronologia di accesso dell'utente, l'ora, la posizione e il contesto delle e-mail inviate e molto altro ancora. Le soluzioni avanzate di sicurezza e-mail basate sull'intelligenza artificiale utilizzano questi dati per creare un profilo account intelligente per ciascun utente, segnalando immediatamente qualsiasi anomalia, non importa quanto piccola. La protezione dal furto di identità utilizza anche più segnali come credenziali di accesso, dati e-mail e modelli statistici insieme a regole per rilevare un attacco di furto di account.
Infine, il rilevamento e risposta estesi (XDR) e il monitoraggio 24 ore su 7, XNUMX giorni su XNUMX da parte di un centro operativo di sicurezza (SOC) possono aiutare a garantire che anche le attività profondamente nascoste e offuscate vengano rilevate e neutralizzate. Abusare delle regole della posta in arrivo è una delle tattiche più perfide utilizzate dai criminali informatici. Tuttavia, con le misure di cui sopra, le aziende possono difendersi adeguatamente da questa minaccia per proteggere i propri dati e risorse sensibili.
Altro su Barracuda.com
Informazioni sulle reti Barracuda Barracuda si impegna a rendere il mondo un luogo più sicuro e ritiene che ogni azienda debba avere accesso a soluzioni di sicurezza a livello aziendale abilitate per il cloud, facili da acquistare, implementare e utilizzare. Barracuda protegge e-mail, reti, dati e applicazioni con soluzioni innovative che crescono e si adattano lungo il percorso del cliente. Più di 150.000 aziende in tutto il mondo si affidano a Barracuda per concentrarsi sulla crescita del proprio business. Per ulteriori informazioni, visitare www.barracuda.com.