Компрометираните бизнес-имейли ловко успяват да подведат служителите, докато “сивата” поща затрупва екипите по сигурност (снимка: CC0 Public Domain)
Усъвършенстваните механизми за социално инженерство в кибератаките стават все по-изпипани, префинени и дебнат от всеки „ъгъл“ на виртуалната ни среда, сочи ново изследване на NCC Group и Abnormal Security. Това обяснява защо е налице увеличение на случаите на компрометирана електронна поща. Една трета от токсичните имейли са преминали през ръцете на хората, работещи в бизнеса.
В доклад за кибер-опасностите през 2022 година NCC Group посочва, че най-потърпевши от рансъмуер атаки са Северна Америка (44% от случаите) и Европа (35%). За същия период са отброени 230 519 DDoS събития, като от тях 45% са били насочени към организации в САЩ. Интересно е, че 27% от този вид нападения са се случили през януари. Специалистите си обясняват това с нарасналото напрежение в геополитическата ситуация.
Промишлеността е постоянна мишена
Според NCC Group, целевите сектори през 2022 г. са: промишлеността (804 засегнати от рансъмуер организации, т.е. 32% от атаките); потребителските стоки (487 засегнати, 20% от атаките) и технологичният сектор (263 пъти на прицел, 10% от всички атаки).
В групата на потребителските стоки най-засегнати са хотели и развлекателни предприятия, търговци на дребно, търговци на жилища, финансови услуги. Междувременно софтуерът и ИТ услугите са целевите сектори в рамките на технологичния свят.
BEC атаките успяват при 1/3 от служителите
Миналата година атаките на база социално инженерство се усъвършенстваха и достигнаха някои върховни „постижения“, след като Cisco беше компрометирана от фишинг експлойти, а Microsoft, Samsung, Nvidia и Uber бяха пробити от Lapsu$. В началото на тази година Mailchimp и Riot Games също станаха жертви.
Компрометираните бизнес-имейли са основен инструмент за нападателите. Тези писмени хватки ловко си проправят път през човешките бариери: близо една трета от служителите са отворили компрометирани имейли, според Abnormal Security – платформа за сигурност, базирана на изкуствен интелект.
Проучването, което разглежда статистическите данни за социалното инженерство и се основава на данни, обобщени между юли и декември миналата година, установи още, че доверчивите служители са отговорили средно на 15% от измамническите писма. Около 36% от отговорите са инициирани от служители, които преди това са били замесени в по-ранна атака.
Само 2,1% от известните атаки са докладвани на екипите по сигурността от служители. Крейн Хасолд, директор по разузнаване на заплахите в Abnormal Security казва, че няколко фактора обясняват този феномен.
„Една от причините е ефектът на страничния наблюдател, когато служителите приемат, че не са единствената мишена на атаката и следователно не е необходимо да докладват имейла, защото със сигурност някой колега вече го е направил“, казва той. „Някои служители може да вярват, че докато не се занимават с нападателя, те са изпълнили задълженията си – въпреки че това елиминира възможността екипът по сигурността да предупреди другите служители за атаката“.
Допълнителните констатации от доклада включват:
- 84% от сигналите на служители за фишинг в пощенските кутии касаят или безопасни имейли, или „сива“ поща;
- Служителите на начални търговски позиции с титли като сътрудник по продажбите и специалист по продажбите четат и отговарят на текстови BEC атаки в 78% от времето;
- Близо две трети от големите предприятия са претърпели атака чрез компрометиране на веригата за доставки през втората половина на 2022 г.;
- От първата до втората половина на 2022 г. BEC атаките, насочени към малки и средни предприятия, са нараснали със 147%.
Хасолд казва, че феноменът „сива поща“ представлява страничен ефект от обучението за осведоменост за сигурността. Резултат от това е, че значително количество съмнителна или нежелана поща бива докладвана на SOC екипа на организацията.
„Oпитахме да накараме служителите да докладват за злонамерени съобщения до екипите по сигурността. Нежеланата последица от това е, че сега екипите, които обработват тези доклади, са затрупани със сигнали за сива поща и са претоварени, преглеждайки незлонамерени имейли“, коментира Хасолд.
Малкият бизнес е все по-потърпевш
Специалистите добавят, че огромното увеличение на SMB атаките всъщност отразява общото нарастване на този клас нападения. „Ние разглеждаме съотношението BEC атаки на 1000 пощенски кутии“, казва Хасолд. „Въпреки че малките и средни предприятия съставляват огромното мнозинство от бизнеса, причината за този внезапен ръст вероятно е свързана с общото увеличение на BEC атаките през втората половина на годината – малките и средни предприятия са по-податливи на тези атаки, тъй като не са в състояние да инвестират толкова много в защита, която да ги спре“.