Tecnologia
Prodotti
Risorse
Azienda
Italiano
Tecnologia
Prodotti
Blog
Risorse
Azienda

Frode ai danni della supply chain: Darktrace rileva la compromissione dell’e-mail del fornitore

Dan Fein, Director of Email Security Products

L’acquisizione di account della supply chain, chiamata anche compromissione dell’e-mail del fornitore, è al momento il problema più urgente che riguarda il sistema di gestione delle e-mail. Di recente si è verificata un’ondata di attacchi alla supply chain ad alto profilo e questa tendenza è destinata ad aumentare nel 2021, poiché i pirati informatici continuano a sviluppare con successo questi metodi. Gli strumenti di sicurezza tradizionali non sono in grado di fermare questo tipo di attacchi: poiché le e-mail pericolose provengono da partner e fornitori affidabili, sono in grado di superare i gateway.

Il recente attacco informatico SolarWind ha dimostrato quanto possa essere devastante la compromissione di una supply chain. Oggi le collaborazioni aziendali sono più complesse che mai e ciò significa che una singola violazione può colpire decine di organizzazioni a tutti i livelli di una supply chain globale, da piccole aziende locali a dipartimenti governativi.

Questo blog prende in esame un fornitore terzo compromesso che inviava e-mail pericolose ad un cliente che stava testando Antigena Email. Anche se le e-mail provenivano da una fonte affidabile, la tecnologia basata sull’AI ha riconosciuto un cambiamento comportamentale relativo alle e-mail, che risultavano essere anomale se confrontate con il precedente comportamento del mittente. Quando il contatto ha scoperto che il proprio account era stato compromesso e ha inviato un avviso via e-mail ai propri contatti regolari, Antigena ha riconosciuto queste e-mail come sicure. Ma poiché il pirata informatico ha continuato ad inviare e-mail pericolose a questo account, queste e-mail pericolose, che erano riuscite a bypassare gli altri strumenti di sicurezza aziendali, sono state bloccate da Darktrace.

Compromissione della supply chain

Scopriamo cos’è successo. L’azienda in questione è una dei più grandi fornitori di bevande al mondo e da sola conta quasi 15.000 utenti di posta elettronica. Utilizza una supply chain globale estremamente estesa, che include numerosi partner e fornitori affidabili. Dopo che una di queste terze parti ha subito una compromissione, i pirati informatici hanno inviato e-mail di phishing all’interno della supply chain per provare a compromettere quante più organizzazioni possibile. Questo nostro cliente, che si occupa di bevande, era uno degli obiettivi principali.

Il rapporto di fiducia con l’azienda terza si evince dai tag e-mail di Darktrace, che sono stati applicati alle precedenti e-mail legittime inviate dal fornitore.

Thu Mar 11 2021, 18:50:12
Re: Drinking Vendors
Alessandro Langedijk <[email protected]>
George Torde <[email protected]>
0%
Processed (unread)
Active Conversation
Established Domain
Known Correspondent
Known Domain Relationship
Moderate Communication History

Figura 1: screenshot interattiva dell’interfaccia di Antigena Email

Subito dopo aver ricevuto questa e-mail legittima, è stata ricevuta un’ondata di nuove e-mail, tutte provenienti dallo stesso account. Utilizzando a proprio vantaggio questo traffico autentico, il pirata informatico è riuscito ad eludere gli altri strumenti di sicurezza e a mimetizzarsi tra le comunicazioni legittime. Negli attacchi alla supply chain, questa mimetizzazione è la chiave per il successo della compromissione.

Tuttavia, a causa delle impercettibili modifiche nel comportamento del mittente, se confrontato con la cronologia precedente, Darktrace ha identificato la compromissione dell’account, indicata dai tag Out of Character (Fuori dal normale) e Suspicious Link (Collegamento sospetto).

Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
Rupert Nowers <[email protected]>
100%
Held
Out of Character
Suspicious Link
Established Domain
Known Correspondent
Known Domain Relationship
Moderate Communication History
Hold message
Lock all links
Move to Junk
Anomaly Indicators

The anomaly score assigned to this email was unusually high for this organization. They have never previously sent a link to ows.io.

The email contains a highly suspicious link to a host ows.io. The host has a 100% rarity score based on references in internal traffic, indicating no prior association. The link was hidden from the user and masked by text reading View Engage Data Source Activity. An inducement score of 76% suggests the sender is trying to induce the user into clicking.

Figura 2: screenshot interattiva dell’interfaccia di Antigena Email

L’AI di Darktrace ha rilevato una serie di anomalie, fra cui:

  • l’origine dell’e-mail e la sede dell’accesso relative all’account;
  • la natura dei collegamenti e la loro associazione con l’azienda;
  • il linguaggio e le intenzioni contenuti nel corpo dell’e-mail.

Queste variazioni estremamente impercettibili relative alle e-mail possono essere rilevate solo utilizzando il sofisticato approccio di Darktrace basato sul machine learning non supervisionato. Comprendendo come l’utente tipicamente agisce e interagisce con i propri colleghi e le altre organizzazioni, l’AI di Darktrace è in grado di identificare comportamenti anomali che indicano la compromissione di un account e il tentativo di impersonificazione.

Analisi dettagliata dell’attacco: dubitare dell’affidabilità

Le e-mail contenevano un link che indirizzava l’utente ad un sito di archiviazione file legittimo (“canva.com”), utilizzato per ospitare un payload pericoloso. Questa tattica è comunemente utilizzata dai pirati informatici per bypassare i gateway di sicurezza esistenti, perché questi strumenti tradizionali, che utilizzano verifiche della reputazione, non sono in grado di proteggere da link di archiviazione file pericolosi, poiché i domini stessi sono legittimi.

Tuttavia, Antigena Email, ha identificato che questa e-mail era fuori contesto e ha contrassegnato l’e-mail come 100% anomala. L’immagine seguente mostra tre e-mail pericolose e i punteggi ad esse assegnati dal machine learning di Antigena Email. L’e-mail in alto è l’e-mail legittima inviata dal fornitore all’azienda, che segnala la compromissione dell’account. Nonostante sia arrivata subito dopo le e-mail pericolose, a questa e-mail è stato assegnato un punteggio di minaccia solo del 31%, senza alcuna azione suggerita. Questo dimostra quanto Antigena Email sia utile non solo nel bloccare le e-mail pericolose, ma anche nell’identificare con precisione le e-mail sicure, assicurando che ciò non interferisca con le comunicazioni legittime.

Wed Mar 17 2021, 16:09:48
Warning: Phishing Mail Active
Alessandro Langedijk <[email protected]>
James Rohan <[email protected]>
31%
Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
Rupert Nowers <[email protected]>
100%
Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
Elizabeth Walton <[email protected]>
100%
Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
James Rohan <[email protected]>
100%

Figura 3: Antigena Email ha chiaramente distinto le comunicazioni sicure dalle e-mail pericolose

La linea di azione di Antigena Email è stata bloccare completamente le e-mail nella casella di posta in arrivo, proteggendo i destinatari da qualsiasi potenziale adescamento o tentativo di migrare le comunicazioni su una piattaforma meno sicura.

Fiducia incondizionata: la crescita degli attacchi alla supply chain

Quest’anno assisteremo indubbiamente all’aumento delle frodi ai danni della supply chain, poiché con questa pratica altamente redditizia i criminali informatici si concentrano sui collegamenti più deboli e prendono di mira partner e fornitori per ottenere un punto di accesso in numerose organizzazioni. Infatti, è probabile che quest’anno gli attacchi alle supply chain si diffonderanno di più rispetto alle frodi ai danni dei CEO. Mentre le C-suite sono spesso ben protette dai team della sicurezza sempre all’erta, gli ambienti di terze parti offrono una miriade di modi per accedere ad un’azienda. I team della sicurezza non sono in grado di monitorare gli ambienti di terze parti e raramente i gateway segnalano e-mail provenienti da fonti legittime.

Antigena Email è l’unica tecnologia di sicurezza per le e-mail che analizza ogni singola e-mail nell’intero ambito dell’organizzazione, del destinatario e delle precedenti interazioni con il mittente, bloccando le e-mail anomale inviate con intenti pericolosi, indipendentemente da chi sia il mittente.

Scopri maggiori informazioni su come la Cyber AI difende la casella di posta in arrivo: leggi il White Paper.

Dan Fein

Based in New York, Dan is the Director of Product. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace for Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.