Tecnologia
Prodotti
Settori
Notizie
Eventi
Risorse
Azienda
Italiano
Tecnologia
Prodotti
Settori
Notizie
Blog
Eventi
Risorse
Azienda

Scoperte di Darktrace sulle e-mail: L’impersonificazione di Siemens costa $ 60.000 a un istituto accademico

Dan Fein, Director of Email Security Products

Introduzione

Molte organizzazioni si rivolgono all’AI per aumentare la sicurezza della posta elettronica solo dopo che un attacco dannoso funge da campanello d’allarme. Questo è stato il caso recente con un istituto accademico nella regione APAC. L’organizzazione si sentiva completamente protetta in quel momento, con protezione antispam, protezione URL e il pacchetto Mimecast completo in tutto l’ambiente della posta elettronica. Tuttavia, era interessata a capire come la Cyber ​​AI potesse difendere la sua casella di posta in arrivo e ha organizzato una conversazione per saperne di più.

Due giorni prima della conversazione, l’azienda è stata colpita da un Business Email Compromise. Un pirata informatico aveva rilevato un account Microsoft 365 interno e ha inviato una fattura fraudolenta al reparto contabilità dell’organizzazione. Il mittente della fattura, che conteneva dettagli bancari leggermente modificati, era Siemens, una delle principali società mondiali di tecnologia di automazione. Dato che Siemens era un fornitore affermato, l’attacco ha avuto successo e l’istituto accademico ha involontariamente pagato oltre $ 60.000 sul conto bancario di un pirata informatico.

L’incidente ha messo in allerta questa organizzazione non solo della portata e della gravità degli attacchi e-mail, ma anche dei limiti dei suoi strumenti di sicurezza esistenti. Il team di sicurezza ha distribuito rapidamente Antigena Email e la capacità dell’AI di neutralizzare gli attacchi avanzati persi da altri strumenti è stata immediatamente realizzata quando il pirata informatico ha riprovato una settimana dopo.

In questa occasione, con l’AI in atto, un comportamento insolito sull’account SaaS compromesso insieme all’attività di posta elettronica sospetta ha provocato l’attivazione di diversi modelli Darktrace, culminando in un punteggio di anomalia pari al 73% e nella decisione di trattenere autonomamente l’e-mail incriminata. Quanto segue descrive in dettaglio la sequenza temporale di questo attacco e come Darktrace sia stata in grado di identificare un attacco in cui altri strumenti di sicurezza hanno fallito.

Paziente Zero: la compromissione iniziale

Darktrace ha rilevato per la prima volta che qualcosa non andava quando è stato rilevato un accesso SaaS da un indirizzo IP insolito situato negli Emirati Arabi Uniti.

Tue April 21 04:15:40 (local time)

Ha quindi notato un comportamento comunemente associato a Business Email Compromise: la creazione di una regola di elaborazione della posta in arrivo in modo che tutte le e-mail in arrivo dal fornitore fossero eliminate e reindirizzate al pirata informatico.

Tue April 21st 05:04:21

Wed April 22nd 16:51:14

Figura 1: Darktrace ha rilevato la regola della casella postale anomala, che indica un’attività anomala per il 97-100%

Questa compromissione iniziale ha portato a una campagna di spear phishing molto mirata. Il pirata informatico ha trovato una catena di posta elettronica autentica relativa a una fattura dal dominio siemens.com. Utilizzando la reputazione del fornitore di fiducia, ha copiato il formato esatto della fattura e quindi ha creato un dominio contraffatto “siemesm.com”, con l’intenzione di inviare una nuova fattura al team dell’organizzazione addetto ai clienti, ma con un dettaglio importante modificato: i dettagli bancari.

Il pirata informatico è stato attento. Prima di lanciare l’attacco, ha inviato un’e-mail di prova all’account compromesso per assicurarsi che non venisse bloccato. Come si vede di seguito, tale azione ha messo in allerta Antigena Email con un punteggio di anomalia del 38%.

La fattura falsa

Il mattino seguente, il pirata informatico ha creato una falsa corrispondenza tra il cliente appena creato e il Paziente Zero, prima di inviare una nuova richiesta al team addetto ai clienti, questa volta chiedendo $ 78.000. Anche in questo caso lo scambio è apparso legittimo: da un noto fornitore e con l’apparente ratifica di un collega di fiducia.

Figura 2: Antigena Email che rileva le e-mail anomale, con l’icona rossa di blocco che indica che ha bloccato le e-mail per il destinatario

Qui, possiamo vedere Antigena Email mentre diventa gradualmente più sospettosa di questo comportamento insolito, con l’icona di “blocco” evidenziata che indica che Antigena Email ha impedito la consegna delle due e-mail dannose. L’elevato punteggio di anomalia è stato influenzato non solo dalla mancanza di precedente corrispondenza tra i due utenti di posta elettronica, ma anche dalle regole di posta elettronica che sono state create sull’account stesso il giorno precedente. Inoltre, la Cyber ​​AI ha riconosciuto l’e-mail come una risposta falsa: non una risposta diretta all’e-mail, ma una che ha tentato di replicarla copiando e incollando la corrispondenza da una catena di e-mail separata.

Rendendosi conto che l’attacco iniziale era fallito, il pirata informatico ha quindi sfruttato una tecnica nota come “island hopping”, raccogliendo l’elenco dei contatti a livello aziendale e avviando una campagna di phishing più generica per dozzine di utenti di posta elettronica in tutta l’azienda, sperando a sua volta di compromettere i loro account.

Figura 3: Una selezione delle e-mail successive inviate dall’account inizialmente compromesso

Ancora una volta, Antigena Email ha ritenuto che ognuna di queste e-mail fosse anomala al 100% e le ha tutte bloccate.

Sebbene si tratti di un attacco relativamente avanzato con più fasi, le tecniche sopra descritte non rappresentano nulla di eccezionale: Antigena Email blocca questo tipo di attacchi su base giornaliera, in centinaia di organizzazioni in tutto il mondo.

Distribuendo la Cyber ​​AI nei loro ambienti di posta elettronica, i difensori non solo hanno una visibilità impareggiabile sul flusso di posta interno ed esterno, ma hanno anche la capacità di bloccare attacchi mirati e sofisticati, ben prima che possano degenerare in una crisi.

Scopri ulteriori informazioni su Antigena Email

Dan Fein

Based in New York, Dan is the Director of Product. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace for Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.