Кіберзлочинці все частіше використовують фішингові кампанії для атак на хмарні пропозиції, такі як Office 365. Зламаний обліковий запис, який належить інсайдеру, для них на вагу золота, оскільки він не лише дозволяє їм читати електронні листи, але й отримувати доступ до підключених служб – і починати подальші атаки. НТТ Лтд. пояснює, як компанії повинні реагувати на загрозу фішингу.
З кількома мільйонами активних користувачів компаній щодня хмарні пропозиції, такі як Office 365, стають все більш привабливими для кіберзлочинців: вони можуть використовувати методи та інструменти атак, розроблені для кількох цілей атак, тобто компаній. Крім того, хмарні облікові записи та пов’язані з ними сервіси є дуже цінними цілями через велику кількість даних.
Атака: аналіз контактних відносин
Кіберзлочинці використовують скомпрометовану авторизацію доступу для аналізу контактних відносин, наприклад, щоб визначити більш варті цілі всередині компанії. Потім із зламаного облікового запису вони надсилають фішингові листи співробітникам, які, ймовірно, мають вищі права. Це робить їх внутрішньою загрозою з особливо високими шансами на успіх - зрештою, електронний лист від колеги заслуговує більше довіри, ніж лист від незнайомця. Якщо організації не розпізнають такі атаки на ранній стадії, потенціал шкоди швидко зростає.
У поточному щомісячному звіті GTIC про загрози NTT узагальнив досвід аналізу фішингових атак і рекомендує компаніям враховувати наступні аспекти:
- Навчати співробітників: Підтримка обізнаності співробітників щодо безпеки є фундаментальним елементом захисту від фішингових атак. Тому організації повинні постійно навчати свою робочу силу розпізнаванню тактик соціальної інженерії, щоб краще виявляти шахрайські електронні листи.
- Монітор поштових скриньок: Компанії повинні використовувати інструменти аналізу для постійної перевірки файлів журналів поштових скриньок для виявлення аномалій. Це дозволяє їм визначити, наприклад, коли до поштової скриньки здійснюється доступ з кількох IP-адрес протягом короткого періоду часу.
- Блокувати IP-адреси: Як тільки відповідальні особи використовують інструменти безпеки для ідентифікації IP-адрес зловмисника або відомих шкідливих IP-адрес, вони повинні заблокувати їх.
- Перевірте правила пересилання: Кіберзлочинці рідко отримують доступ до викраденої поштової скриньки, щоб замаскувати свою діяльність і запобігти можливому виявленню. Натомість вони часто створюють правила для пересилання всіх надісланих електронних листів, щоб отримати доступ до внутрішніх даних компанії. Тому організації повинні переглянути всі правила пересилання, щоб виявити загрози та усунути втручання.
- Увімкнути перевірку MailItemsAccessed: Подія MailItemsAccessed — це дія моніторингу поштової скриньки, яка запускається під час доступу до даних поштової скриньки через протоколи електронної пошти та клієнти. Організації зазвичай шукають у цих записах компрометацію, щоб ідентифікувати повідомлення та дані, до яких отримав доступ зловмисник. Ви також можете профілактично використовувати опцію, доступну для Office 365 E5, щоб перевірити конфіденційні облікові записи на наявність неавторизованого доступу.
- Реалізація багатофакторної автентифікації: Срібною кулею серед усіх заходів проти фішингу є активація багатофакторної автентифікації (MFA). Це вимагає від користувачів надати додаткове підтвердження особи на додаток до імені користувача та пароля під час доступу до програм. Компанії повинні використовувати MFA, особливо коли використовують хмарні облікові записи, такі як Office 365, тому що навіть із зламаним обліковим записом кіберзлочинці можуть не лише отримати доступ до електронних листів, але й до конфіденційних даних з інших служб, пов’язаних з обліковим записом. Розширивши використання MFA на інші служби, такі як VPN, організації можуть значно посилити безпеку.
«Фішинг все ще становить загрозу для компаній із величезним потенціалом для шкоди», — пояснює Себастьян Ганшоу, директор відділу кібербезпеки NTT Ltd. «Компанії мають протидіяти цій небезпеці всіма технічними засобами. Але одного цього недостатньо: ви повинні навчити своїх співробітників, щоб вони могли надійно розпізнавати шахрайські електронні листи. Повна обізнаність співробітників щодо безпеки є важливим фактором захисту від фішингових електронних листів, особливо при використанні хмарних служб, таких як Office 365, які можуть служити шлюзом для кіберзлочинців, щоб проникнути в компанію».
БІТКОМ: 220 мільярдів збитків на рік
Інвестиції в технології безпеки та застосування перевірених заходів безпеки є більш ніж необхідними з огляду на великий потенціал шкоди компаніям. Вартість кібератак на економіку Німеччини промислова асоціація BITKOM оцінює це в понад 220 мільярдів євро на рік.
Більше на Global.ntt
Про відділ безпеки та NTT Ltd.
Security є підрозділом NTT Ltd., провідного світового постачальника технологічних послуг. Відділ безпеки допомагає компаніям будувати цифровий бізнес, який дотримується принципу безпеки за проектом. Базуючись на глобальних даних про загрози, Відділ безпеки забезпечує запобігання, виявлення, реагування та реагування на кіберзагрози, одночасно підтримуючи інновації в бізнесі та керуючи ризиками. Відділ безпеки має глобальну мережу SOC, сім науково-дослідних центрів, понад 2.000 спеціалістів із безпеки та обробляє сотні тисяч інцидентів безпеки щорічно на шести континентах. Підрозділ також забезпечує ефективне використання ресурсів, надаючи правильне поєднання керованих послуг безпеки, консультаційних послуг із безпеки та технологій безпеки.