TALOS Incident Response Report 2004 Q1
A Cisco Talos Incident Response jelentése szerint a BEC (Business E-mail Compromise) csalások a legnagyobb fenyegetés 2024 első negyedévében, ami a megbízások közel felét tette ki, ami több mint kétszerese az előző évinek.
A kezdeti hozzáférés megszerzésének leggyakrabban megfigyelt módja az érvényes fiókok veszélyeztetett hitelesítő adatainak használata volt, ami a bevetések 29 százalékát tette ki. A BEC-támadások magas száma valószínűleg jelentős szerepet játszott abban, hogy az érvényes fiókok ebben a negyedévben a legfontosabb támadási vektorok közé kerültek. A többfaktoros hitelesítést (MFA) érintő gyengeségeket a negyedévben a megbízások közel felében figyelték meg, a leggyakoribb megfigyelt gyengeség pedig a felhasználók jogosulatlan push-értesítések elfogadása volt, ami a megbízások 25 százalékában fordult elő.
A negyedévben a feldolgozóipar volt a leginkább megcélzott vertikum, amelyet szorosan követett az oktatás, ami 2024 negyedik negyedévének folytatása, ahol a gyártás és az oktatás is a két leginkább megcélzott vertikum volt. Az előző negyedévhez képest 20 százalékkal nőtt a feldolgozóipari tevékenység.
A BEC-támadásokon belül az ellenfelek olyan adathalász e-maileket küldenek, amelyek ismert vagy jó hírű forrásból származnak, és érvényes kérést küldenek, például frissítik a bérszámfejtési közvetlen befizetési információkat. A BEC-támadásoknak számos, gyakran pénzügyi indíttatású motivációja lehet, amelyek célja, hogy a szervezeteket rávegyék arra, hogy pénzeszközöket vagy érzékeny információkat utaljanak át rosszindulatú szereplőknek.
A BEC azt az előnyt kínálja az ellenfeleknek, hogy megszemélyesítik a megbízható kapcsolatokat, hogy megkönnyítsék a belső adathalász támadásokat, amelyek megkerülhetik a hagyományos külső védelmet, és növelhetik a megtévesztés, a széles körben elterjedt rosszindulatú programfertőzések és adatlopások valószínűségét.
Az egyik összecsapás során az ellenfelek jelszó-szórással és MFA-kimerítő támadást hajtottak végre több alkalmazotti fiók ellen. Hiányzott az MFA megfelelő megvalósítása az összes érintett fiókban, ami ahhoz vezetett, hogy az ellenfelek legalább két fiókhoz hozzáfértek egytényezős hitelesítéssel. A szervezet még azelőtt észlelte és megzavarta a támadást, mielőtt az ellenfelek előmozdíthatták volna a hozzáférést, vagy további, a kiegyezést követő tevékenységeket hajthattak volna végre.
Egy másik tevékenységcsoportban több alkalmazott kapott adathalász e-maileket, amelyek linkeket tartalmaztak, amelyekre kattintáskor a weboldalak átirányítási láncához vezettek, amely végül egy legitim egyszeri bejelentkezési (SSO) felszólításra került, amelyet előre feltöltöttek minden áldozat azonosítójával. email cím. A támadás sikertelen volt, mert egyik alkalmazott sem kommunikált az e-maillel, ami valószínűleg a többszörös piros zászló miatt volt. Például az e-mail váratlan volt, és egy külső e-mail címről érkezett, és az e-mailben kis szöveg volt, amely faxként utalt az e-mailre, ami mind adathalászati kísérletet jelez.