Автоматичні правила для вхідних повідомлень електронної пошти є корисною та знайомою функцією більшості поштових програм. Вони допомагають керувати вашою папкою "Вхідні" та щоденним потоком бажаних і небажаних повідомлень, дозволяючи переміщувати електронні листи до певних папок, пересилати їх колегам, коли вас немає, або автоматично видаляти.
Однак після того, як обліковий запис було зламано, зловмисники можуть зловживати правилами папки «Вхідні», щоб замаскувати подальші атаки, наприклад, таємно вилучаючи інформацію з мережі за допомогою пересилання, гарантуючи, що жертва не бачить попереджень системи безпеки, і видаляючи певні повідомлення.
Електронна пошта як основний вектор атаки
Хоча безпека електронної пошти вдосконалилася, а використання машинного навчання спростило виявлення підозрілих створених правил папки "Вхідні", зловмисники продовжують успішно використовувати цю техніку. Оскільки для цього потрібен скомпрометований обліковий запис, загальна кількість цієї загрози, ймовірно, низька, але вона все ще становить серйозну загрозу цілісності даних і активів організації - не в останню чергу тому, що створення правил зловмисником є технікою. Відбувається компрометація, тобто він уже є в мережі, і потрібні негайні контрзаходи.
Атаки на основі електронної пошти мають високий рівень успішності та є звичайною точкою входу для багатьох інших кібератак. Дослідження Barracuda показало, що 75 відсотків опитаних компаній у всьому світі зазнали принаймні одного порушення безпеки електронної пошти у 2022 році. Ці атаки варіюються від простих фішингових атак і шкідливих посилань або вкладень до складних методів соціальної інженерії, таких як компрометація бізнес-електронної пошти (BEC), викрадення розмови та захоплення облікового запису. Деякі з найдосконаліших типів пов’язані зі шкідливими правилами електронної пошти.
Автоматизовані правила електронної пошти
Щоб створити зловмисні правила електронної пошти, зловмисники повинні скомпрометувати цільовий обліковий запис, наприклад, через успішний фішинговий електронний лист або використовуючи викрадені облікові дані, отримані під час попереднього порушення. Коли зловмисник отримує контроль над обліковим записом електронної пошти жертви, він може налаштувати одне або кілька автоматичних правил електронної пошти.
Зловмисники можуть налаштувати правило пересилання всіх електронних листів із конфіденційними та потенційно прибутковими ключовими словами, такими як «оплата», «рахунок-фактура» або «конфіденційно», на зовнішню адресу. Крім того, вони також можуть зловживати правилами електронної пошти, щоб приховати певні вхідні електронні листи, переміщуючи ці повідомлення до рідко використовуваних папок, позначаючи електронні листи як прочитані або просто видаляючи їх. Наприклад, щоб приховати сповіщення системи безпеки, командно-контрольні повідомлення або відповіді на внутрішні фішингові електронні листи, надіслані зі зламаного облікового запису, або щоб приховати їхні сліди від власника облікового запису, який, ймовірно, використовуватиме обліковий запис, який використовується в той же час не знаючи про зловмисників. Крім того, зловмисники також можуть зловживати правилами пересилання електронної пошти, щоб відстежувати дії жертви та збирати інформацію про жертву чи організацію жертви для подальших атак чи операцій.
Атаки BEC (Business Email Compromise).
Під час атак BEC кіберзлочинці намагаються переконати своїх жертв, що електронний лист надійшов від законного користувача, щоб обдурити компанію та її співробітників, клієнтів або партнерів. Наприклад, зловмисники можуть налаштувати правило, яке видаляє всі вхідні електронні листи від певного співробітника чи керівника, наприклад фінансового директора (CFO). Це дозволяє злочинцям видавати себе за фінансового директора та надсилати підроблені електронні листи співробітникам, щоб переконати їх переказати кошти компанії на банківський рахунок, контрольований зловмисниками.
У листопаді 2020 року ФБР опублікувало звіт про те, як кіберзлочинці використовують відсутність синхронізації та видимості безпеки між веб-клієнтами та настільними клієнтами електронної пошти для встановлення правил маршрутизації електронної пошти, збільшуючи ймовірність успішної атаки BEC.
Атаки електронної пошти національних держав
Правила шкідливої електронної пошти також використовуються в цілеспрямованих атаках на національну державу. Структура тактики та методів противника MITRE ATT&CK® називає три APT (Advanced Persistent Threat Groups), які використовують техніку пересилання шкідливих електронних листів (T1114.003). Це Kimsuky, державна група кібершпигунських загроз, LAPSUS$, відома своїми здирницькими та підривними атаками, і Silent Librarian, інша національна група, пов’язана з крадіжкою інтелектуальної власності та дослідженнями.
MITER класифікує правила приховування електронної пошти (T1564.008) як техніку, яка використовується для обходу засобів захисту. Один із APT, який, як відомо, використовує цю техніку, — FIN4, фінансово вмотивований загрозник, який створює правила в облікових записах жертв для автоматичного видалення електронних листів, які містять такі слова, як «зламаний», «фіш» і містять «зловмисне програмне забезпечення», що, ймовірно, завадить ІТ жертви команди від інформування працівників та інших осіб про свою діяльність.
Неефективні заходи безпеки
Якщо зловмисне правило не виявлено, воно залишатиметься в силі, навіть якщо пароль жертви змінено, багатофакторну автентифікацію ввімкнено, інші суворі політики умовного доступу або комп’ютер повністю перебудовано. Поки правило діє, воно діє.
Хоча підозрілі правила електронної пошти можуть бути хорошим свідченням атаки, розгляд цих правил окремо не є достатнім сигналом того, що обліковий запис зламано. Тому засоби захисту повинні використовувати кілька сигналів, щоб зменшити кількість нерелевантної інформації та попередити команду безпеки про ймовірну успішну атаку електронною поштою. Динамічний і розвиваючий характер кібератак, включаючи використання зловмисниками складних тактик, вимагає багаторівневого підходу до виявлення та реагування.
Ефективні заходи захисту
Оскільки створення правил папки «Вхідні» є технікою після зламання, найефективнішим захистом є запобігання, тобто запобігання зловмисникам від викрадення облікового запису. Однак організації також потребують ефективних заходів виявлення інцидентів і реагування на них, щоб ідентифікувати зламані облікові записи та пом’якшити наслідки цих атак. Це включає повну видимість усіх дій, виконаних у папці «Вхідні» кожного співробітника, і які правила створено, що було змінено або доступно, історію входу користувача, час, місце та контекст надісланих електронних листів та багато іншого. Передові рішення безпеки електронної пошти на основі штучного інтелекту використовують ці дані для створення інтелектуального профілю облікового запису для кожного користувача, миттєво позначаючи будь-яку аномалію, незалежно від того, наскільки вона мала. Захист від крадіжки особистих даних також використовує кілька сигналів, таких як облікові дані для входу, дані електронної пошти та статистичні моделі, а також правила для виявлення атаки захоплення облікового запису.
Нарешті, розширене виявлення та реагування (XDR) і цілодобовий моніторинг з боку центру безпеки (SOC) можуть допомогти гарантувати виявлення та нейтралізацію навіть глибоко прихованих і завуальованих дій. Зловживання правилами папки "Вхідні" є однією з найпідступніших тактик, які використовують кіберзлочинці. Однак за допомогою вищевказаних заходів компанії можуть належним чином захистити себе від цієї загрози, щоб захистити свої конфіденційні дані та активи.
Більше на Barracuda.com
Про Barracuda Networks Barracuda прагне зробити світ безпечнішим і вважає, що кожен бізнес повинен мати доступ до хмарних рішень безпеки для всього підприємства, які легко придбати, розгорнути та використовувати. Barracuda захищає електронну пошту, мережі, дані та програми за допомогою інноваційних рішень, які розвиваються та адаптуються на шляху клієнта. Понад 150.000 XNUMX компаній у всьому світі довіряють Barracuda, щоб вони могли зосередитися на розвитку свого бізнесу. Для отримання додаткової інформації відвідайте www.barracuda.com.