Securitate — September 28, 2022 at 10:48 am

Noua tendință în deturnarea e-mailurilor

by

Ingineria socială este componenta preeminentă a majorității covârșitoare a atacurilor cibernetice din prezent. Indiferent dacă obiectivul unui infractor cibernetic este de a comite în mod direct o fraudă, de a colecta acreditări sau de a instala programe malware, la un moment dat o ființă umană trebuie să fie manipulată prin deturnare mentală pentru a întreprinde o acțiune în numele actorilor.

În 2021, Proofpoint a observat peste 500 de campanii care utilizează deturnarea de conversații pe e-mail, asociate cu 16 familii diferite de malware. Principalele surse de amenințare, inclusiv TA571, TA577, TA575 și TA542, utilizează în mod regulat thread hijacking în campanii. În majoritatea cazurilor observate, în special în cazul surselor de amenințare care distribuie Qbot, Emotet, IcedID și Ursnif, mecanismul de deturnare a firelor este automatizat, conversațiile de e-mail sunt furate de pe gazdele infectate, iar răspunsurile la mesaje sunt trimise automat de către atacator.

Thread hijacking, sau deturnarea conversațiilor, este o tehnică prin care infractorii răspund la conversațiile de e-mail benigne folosind un atașament malițios, un URL sau o cerere de a efectua o acțiune în numele sursei de amenințare. Un infractor care utilizează această metodă profită de încrederea persoanei în conversația de e-mail existentă. De obicei, un destinatar așteaptă un răspuns de la expeditor și, prin urmare, este mai înclinat să interacționeze cu conținutul injectat.

Lucia Milica Proofpoint US„Cu excepția cazului în care expeditorul este o adresă de e-mail cunoscută, ar trebui să fiți întotdeauna precauți, dacă nu chiar suspicioși la orice mesaj care invită la o acțiune, indiferent de ce ar fi, mai ales dacă implică să dați clic pe un hyperlink. Ar putea fi o așa-zisă confirmare de plată, o cerere de ofertă sau orice altceva asemănător. Infractorii devin din ce în ce mai bogați în imaginație în ceea ce privește ingineria socială și înșelarea lucrătorilor din domeniul informaticii care nu sunt suspicioși”, avertizează Lucia Milică, Vicepreședinte Proofpoint și Global Resident Chief Information Security Officer.

Pentru a deturna cu succes o conversație existentă, infractorii trebuie să obțină acces la căsuțele de e-mail ale utilizatorilor legitimi. Acesta poate fi obținut în diverse moduri, inclusiv prin phishing, atacuri malware, liste de referințe disponibile pe forumurile de hacking sau tehnici de spargere a parolelor. Infractorii pot, de asemenea, să deturneze servere de e-mail sau căsuțe poștale întregi și să trimită automat răspunsuri din botnet-uri controlate.

Un alt exemplu de atacuri de inginerie socială sunt amenințările de tip Lure și Task Business Email Compromise (BEC), care încep de obicei cu o conversație benignă sau pun o întrebare pentru a determina destinatarul să se implice în e-mail.

E-mailurile de tip “Lure/task” sunt, de obicei, o temă de trecere – dacă victima răspunde, aceasta poate fi condusă către un alt tip de amenințare, cum ar fi o fraudă cu carduri cadou, salarii sau facturi. Proofpoint identifică și blochează în mod automat aproximativ 80.000 de e-mailuri cu tematică de sarcină în fiecare lună.