Scoperte di Darktrace sulle e-mail: L’attacco di furto d’identità del membro del consiglio prende di mira l’account Gmail

Mariana Pereira, Director of Email Security Products | martedì 7 luglio 2020

La posta elettronica e le altre piattaforme di comunicazione si basano su un presupposto di fiducia che, data la maggiore dipendenza dalle piattaforme di comunicazione durante la pandemia, non è mai stato oggetto di maggiore controllo. La grande efficacia dell’e-mail dipende dal fatto che i dipendenti si fidano del source delle richieste e delle informazioni che arrivano ogni giorno nella loro casella di posta in arrivo. Ciò è particolarmente vero quando le e-mail provengono da una figura nota, come un fornitore, un consulente, un partner o un dirigente di fiducia, anche uno che non è un corrispondente frequente.

È per questo motivo che gli attacchi di impersonificazione sono così pericolosi e perché, date le loro percentuali di successo, vengono utilizzati ancora di più dai pirati informatici. Recentemente, Darktrace ha rilevato tre attacchi e-mail correlati mentre colpivano individui di alto profilo presso un’organizzazione di servizi finanziari, ciascuno inviato da tre account di posta elettronica separati che impersonavano il CEO, il CFO e un membro del consiglio.

Non è insolito che i membri del consiglio inviino e-mail da indirizzi esterni all’azienda di cui fanno parte. Un investitore potrebbe scegliere di utilizzare l’account della propria azienda o il proprio indirizzo e-mail personale. Molte organizzazioni hanno pubblicamente disponibile sui loro siti web una biografia dei membri del consiglio di amministrazione e dei dirigenti, inclusi i riferimenti ad altre attività in cui sono coinvolti. Ciò fornisce facilmente informazioni contestualmente rilevanti agli aspiranti pirati informatici. Per questi motivi, gli attacchi di impersonificazione sono altamente personalizzati e altamente efficaci.

Gli attacchi di phishing non arrivati a destinazione

Questo attacco è stato rilevato nell’ambiente Gmail di un cliente di Antigena Email. Nel corso di una sola settimana, tre e-mail dannose hanno aggirato gli strumenti di sicurezza della posta elettronica esistenti e hanno tentato di richiedere informazioni sensibili a tre membri senior del personale. Ognuno è stato inviato in un giorno diverso, in orari diversi, da indirizzi diversi, ma l’indirizzo ASN ha rivelato che tutti e tre sembravano provenire dalla stessa fonte. Ciò suggerisce che le tre e-mail sono state lanciate dallo stesso aggressore che ha tentato di impersonare alcuni utenti chiave per ottenere l’accesso ai dettagli dell’azienda.

Figura 1: Panoramica delle tre e-mail anomale identificate nella stessa settimana

Esaminando l’e-mail più recente, vediamo l’analisi della minaccia da parte di Antigena Email. Questa e-mail sembra essere uno spoofing mirato o un attacco di sollecitazione che imita un membro del consiglio e prende di mira un individuo di livello alto nel dipartimento finanziario.

Possiamo vedere dal punteggio di anomalia dell’86% che Antigena Email ha interpretato questa e-mail come significativamente insolita. I tag riassumono i principali risultati: l’e-mail mostrava segni di sollecitazione ma, cosa interessante, non sembrava contenere allegati o link. Questo è un metodo comune utilizzato dagli aggressori per aggirare gli strumenti legacy che si basano su elenchi di accesso e negazione, attacchi noti, regole e firme per individuare e bloccare gli attacchi tramite posta elettronica. Senza collegamenti dannosi per gli strumenti legacy da segnalare, questi attacchi sfuggono facilmente alle soluzioni di sicurezza tradizionali.

86%
Fri Jul 03 2020, 17:24:05
From:David Smith <[email protected]>
Recipient:Vanessa Milanez <[email protected]>
[no subject]
Email Tags
Solicitation
No Association
Freemail
New Contact
Actions on Email
Move to Junk

Figura 2: I tag di posta elettronica e le azioni associate a una delle e-mail dannose

Catturare gli elementi sottili e furtivi con l’AI

Questo è stato chiaramente un attacco ben congegnato. I vari mittenti, l’incoerenza nelle e-mail e l’intervallo di tempo tra i messaggi suggeriscono che si trattava di un pirata informatico che si stava prendendo del tempo. Piuttosto che fare affidamento su un approccio “spray and pray” (inviando migliaia di e-mail nella speranza che uno o due utenti potessero interagire), ha trascorso del tempo a fare ricerche sull’organizzazione, creando messaggi ben scritti e altamente personalizzati nel tentativo di ottenere un punto d’appoggio.

L’autore dell’attacco presumibilmente credeva che questa strategia lenta e furtiva avrebbe potuto ripagare con ricompense elevate, prendendo di mira solo individui di alto profilo con gli attacchi. E senza la tecnologia di sicurezza e-mail self-learning di Darktrace che analizza attivamente ogni e-mail in tempo reale, questo approccio potrebbe avere successo.

In effetti, per i team di sicurezza sarebbe quasi impossibile identificare queste e-mail ben studiate e realizzate con cura utilizzando solo strumenti legacy. Fortunatamente, distribuendo la Cyber ​​AI tramite e-mail, che può apprendere i modelli di comunicazione e comportamento normali per ogni dipendente di un’azienda, le organizzazioni possono rilevare e prevenire questi tipi di attacchi furtivi che sono così spesso nascosti tra le comunicazioni e-mail.

Per un’analisi di altri 13 attacchi e-mail, leggi il report sulla sicurezza contro le minacce e-mail 2020

Mariana Pereira

Mariana is the Director of Email Security Products at Darktrace, with a primary focus on the capabilities of AI cyber defenses against email-borne attacks. Mariana works closely with the development, analyst, and marketing teams to advise technical and non-technical audiences on how best to augment cyber resilience within the email domain, and how to implement AI technology as a means of defense. She speaks regularly at international events, with a specialism in presenting on sophisticated, AI-powered email attacks. She holds an MBA from the University of Chicago, and speaks several languages including French, Italian, and Portuguese.