Egyre nagyobb probléma az ún. business email compromise (BEC). Az elmúlt négy évben jelentősen nőtt az üzleti levelezés elleni adathalász támadások száma. A módszerek egyre kifinomultabbak, és szolgáltatásként is igénybe vehetők, írja a Microsoft legújabb Cyber Signals biztonsági elemzése (PDF), amely 2019 és 2022 között a kiberbűnözés mint szolgáltatás (CaaS) "felvevőpiacának" 38 százalékos növekedését mérte. A növekedés tetemes részét a BEC típusú támadások okozták.

A Microsoft által megfigyelt tendenciát az FBI adatai is visszaigazolják. Az amerikai szövetségi nyomozók egy múlt év tavaszán készített jelentésükben arról írnak, hogy a BEC-csalások egyre tökéletesebb technológiákat tudnak felhasználni. A mesterséges intelligencia segítségével létrehozott hang- és videóhamisítványok (deepfake) megjelenésével már akár a virtuális megbeszéléseken keresztül is megszerezhetnek érzékeny adatokat, melyeket pénzszerzésre használnak fel.

A BEC-incidensek évről évre dollármilliárdokra rúgó károkat okoznak a vállalatoknak. 2022-ben az FBI Recovery Asset Teamje egy átfogó program keretében több mint 2800 ilyen jellegű incidenst akadályozott meg, amivel több mint 590 millió dollárnyi kárt hárított el. Az FBI egy friss jelentése szerint tavaly közel 22 ezer feljelentés érkezett a hatósághoz üzleti e-mailek elleni támadás miatt, és több mint 2,7 milliárd dollár kárt okoztak így a kiberbűnözők.

2022 és 2023 áprilisa között a Microsoft Threat Intelligence globálisan 35 millió üzleti levelezést érintő esetet tárt fel és vizsgált, azaz minden napra jutott átlagosan 156 ezer támadási kísérlet.

Arra épít, amilyen vagy

Az üzleti levelezést érő támadások alapvetően a social engineering egy speciális alfajának tekinthetők: a támadók ugyanúgy az emberek tipikus viselkedésmintáira építenek, és legfőbb eszközük a megtévesztés. Nem keresik a védtelen eszközöket vagy a sérülékenységeket, hanem a mindennapi levelezésbe és az egyéb módon zajló üzenetváltásokba kapcsolódnak be. Ezeken a csatornákon igyekeznek rávenni áldozataikat például banki vagy olyan személyes adatok kiadására, melyekkel a tudtukon kívül, a nevükben hajthatnak végre bűncselekményekhez kötődő pénzátutalásokat.

Az e-mailes adathalászok jellemzően udvariasak, de magabiztosak: kitalált határidőkkel nyomasztják az áldozataikat, akik ilyenkor megfeledkeznek az óvatosságról, vagy fel sem merül bennük a gyanú, hiszen hozzá vannak szokva az ilyen sürgetésekhez. Olyan módszerekre hagyatkoznak, amelyekkel a lehető legtöbb embert meg lehet szólítani, igyekeznek hitelesnek és megbízhatnak mutatkozni.

Az elemzés szerint a támadók egyre gyakrabban bérelnek olyan platformokat, amelyekkel ipari méretekben lehet előállítani és kampányszerűen kiküldeni csaló üzenteket. Egy ilyen platform teljes szolgáltatáscsomagot kínál a támadáshoz: szövegterveket, hostingot és az automatizált funkciókat, célcsoport-meghatározást segítő IP-címeket stb. A blockchainalapú BulletProofLink például decentralizált gateway-t is használ, hogy nehezebb legyen leleplezni és hatástalanítani.

A Microsoft szerint az ilyen dark netes szolgáltatók folyamatosan bővítik kínálatukat: például árulják potenciális áldozatok kontaktadatait és IP-címeit adathalász kampányokhoz.