У електронних листах із вимаганням кіберзлочинці погрожують опублікувати компрометуючу інформацію про своїх жертв, як-от незручне фото, і вимагають оплату в криптовалюті. Зловмисники часто купують облікові дані жертви або отримують їх шляхом витоку даних, щоб «довести», що їхня загроза законна.
Щоб краще зрозуміти фінансову інфраструктуру, яку зловмисники використовують у електронних листах із здирництвом, Barracuda співпрацює з дослідниками з Колумбійського університету, щоб проаналізувати понад 300.000 XNUMX електронних листів, зафіксованих детекторами на основі штучного інтелекту Barracuda Networks протягом одного року, коли були виявлені атаки здирництва.
🔎Приклад супровідного листа з вимаганням (Зображення: Barracuda Networks)
Нижче ми докладніше розглянемо валюти, які використовуються в цих атаках, як зловмисники використовують адреси біткойн, кількість надісланих електронних листів і суми грошей, які запитуються.
Криптовалюти, які використовують зловмисники
У дослідженому наборі даних біткойн є єдиною криптовалютою, яку використовують зловмисники. Є кілька причин, чому злочинці використовують біткойн як спосіб оплати викупу. Біткойн значною мірою анонімний, транзакції обробляються через адреси гаманців, і будь-хто може створити скільки завгодно адрес гаманців.
Крім того, інфраструктура навколо біткойна добре розвинена, що полегшує жертвам придбання біткойнів і дозволяє зловмисникам додатково анонімізувати свої дії за допомогою так званих «міксерів». Це сервіси, призначені для приховування історії транзакцій шляхом випадкового поєднання та розподілу біткойнів із багатьох гаманців. Крім того, через загальнодоступний характер блокчейну здирники можуть легко перевірити, чи заплатила жертва чи ні, усуваючи деякі проблеми, які виникають під час традиційних транзакцій.
Аналіз біткоін-адрес
Незважаючи на те, що біткойн анонімний, ви все одно можете отримати дуже цікаву інформацію про зловмисників та їхню поведінку, проаналізувавши адреси біткойнів у їхніх електронних листах з вимаганням. Наприклад, якщо одна й та сама адреса Bitcoin використовується в кількох електронних листах, отриманих від користувачів, це означає, що вона належить одному зловмиснику або групі зловмисників.
Аналізуючи досліджуваний набір даних, дослідники виявили, що атаки зосереджені на невеликій кількості адрес Bitcoin. Загалом було близько 3.000 унікальних біткойн-адрес, з яких 10 найпопулярніших з’являлися приблизно в 30 відсотках електронних листів, а 100 найпопулярніших – приблизно в 80 відсотках електронних листів. Це свідчить про те, що невелика кількість зловмисників відповідає за переважну більшість електронних листів із вимаганням. Отже, якщо ви зможете зупинити цих зловмисників або ефективно заблокувати їхні методи, значну частину цієї електронної загрози можна нейтралізувати.
Перехресний аналіз адреси Bitcoin та відправника електронної пошти
Ще одна важлива інформація для призначення електронних адрес конкретним зловмисникам – це поля електронної пошти. Наприклад, поле «Відправник» кожного електронного листа можна розглядати як проксі для зловмисника. Якщо кілька електронних листів надходять від одного відправника, вони належать одному зловмиснику. Дослідження згрупувало електронні листи за полем «відправник» і підрахувало кількість листів, надісланих кожним відправником, а також кількість унікальних біткойн-адрес, які використовував кожен відправник.
Це показало, що переважна більшість усіх відправників використовували одну й ту саму адресу Bitcoin у своїх атаках. Це стосується як зловмисників, які надсилають велику кількість електронних листів, так і шантажистів, які працювали лише з невеликими обсягами. Крім того, із 120.000 3.000 унікальних відправників у всьому наборі даних менше 500 XNUMX відправників надіслали більше десяти електронних листів. Лише вісім відправників надіслали більше XNUMX листів.
Це свідчить про те, що зловмисники дещо нехтують у приховуванні своєї особистості та в переважній більшості випадків використовують ту саму адресу Bitcoin для своїх шахрайств. Це створює ймовірність того, що ця невелика кількість біткойн-адрес (і зловмисників) може бути відстежена правоохоронними органами.
Скільки грошей вимагають шантажисти?
Щоб краще зрозуміти поведінку зловмисників, дослідники також перевірили, скільки грошей вимагали зловмисники та наскільки сумісна сума була в досліджуваному наборі даних. З 200.000 97 електронних листів, з яких можна було отримати біткойн-адреси, 2,4 відсотків запитували долари США, 0,6 відсотка — євро, а решта XNUMX відсотка — британські фунти, канадські долари, біткойни тощо. Будь-яка сума, яка не була, була в доларах США, дослідники конвертували його в еквівалентну суму в доларах США на день відправлення електронного листа для порівняння. Результати були такими:
- Майже всі зловмисники вимагають суму від 400 до 5.000 доларів
- У 25% електронних листів запитується сума менше 1.000 доларів США
- Понад 90 відсотків електронних листів із вимаганням просять суму менше 2.000 доларів США
- Зазвичай зловмисники вимагають від 500 до 2.000 доларів
Це свідчить про те, що суми грошей, які вимагають зловмисники, більше зосереджені в зоні «приємного місця». Це достатньо, щоб бути значущим для зловмисника, але не настільки, щоб жертва не зробила платіж або з’ясувала, чи дійсно зловмисник має компрометуючу інформацію (що зазвичай не так). Крім того, сума не викликає сигналу тривоги для банку жертви чи податкових органів.
Способи захисту від атак здирників
Якщо правоохоронні органи вистежать навіть невелику кількість зловмисників, злочинні операції можуть бути серйозно зірвані. Крім того, оскільки здирники переймають тактику один від одного, постачальники послуг безпеки електронної пошти повинні мати можливість блокувати великий відсоток цих атак за допомогою простих засобів виявлення. Ось чотири найкращі практики, якими компанії можуть скористатися для захисту від таких типів атак:
- Захист на основі ШІ: Зловмисники адаптують атаки здирництва, щоб обійти шлюзи електронної пошти та фільтри спаму, тому хороше рішення для фішингу, яке захищає від здирництва, є обов’язковим.
- Захист від захоплення облікового запису: Багато атак здирництва здійснюються зі зламаних облікових записів. Тому важливо переконатися, що шахраї не використовують компанію як базу для цих атак. Тут можуть допомогти технології, які використовують штучний інтелект для виявлення зламаних облікових записів.
- Проактивні розслідування: Зважаючи на незручну природу шахрайства з вимаганням, працівники можуть бути менш охоче повідомляти про ці атаки, ніж зазвичай. Тому компанії повинні проводити регулярне сканування доставлених повідомлень, щоб ідентифікувати електронні листи, пов’язані зі зміною пароля, попередженнями безпеки та іншим вмістом.
- Навчання з безпеки: Компанії також повинні інформувати користувачів про атаки здирників і зробити цю тему частиною своєї програми навчання з безпеки. Слід переконатися, що співробітники розпізнають ці атаки, розуміють їх шахрайський характер і відчувають себе комфортно, повідомляючи про них. Використання симуляції фішингу також допомагає перевірити ефективність навчання та виявити користувачів, найбільш вразливих до атак здирників.
Вимагання електронної пошти є значною загрозою, оскільки зловмисники щороку надсилають жертвам мільйони зловмисних повідомлень, але, схоже, це вчиняє невелика кількість зловмисників і ці групи використовують схожу тактику. Це додає нам оптимізму щодо боротьби з цією конкретною загрозою електронної пошти.
Доктор Клаус Ґері, віце-президент і генеральний менеджер з безпеки мережі Barracuda Networks
Про Barracuda Networks Barracuda прагне зробити світ безпечнішим і вважає, що кожен бізнес повинен мати доступ до хмарних рішень безпеки для всього підприємства, які легко придбати, розгорнути та використовувати. Barracuda захищає електронну пошту, мережі, дані та програми за допомогою інноваційних рішень, які розвиваються та адаптуються на шляху клієнта. Понад 150.000 XNUMX компаній у всьому світі довіряють Barracuda, щоб вони могли зосередитися на розвитку свого бізнесу. Для отримання додаткової інформації відвідайте www.barracuda.com.
Статті по темі