Το FBI προειδοποιεί ότι οι χάκερς βασίζονται όλο και περισσότερο στους κανόνες προώθησης email για να αποκρύψουν την παρουσία τους σε παραβιασμένους λογαριασμούς email. Σε μια ειδοποίηση PIN (Ειδοποίηση για ιδιωτική βιομηχανία) που δημοσιεύτηκε χθες, το FBI ανέφερε ότι αυτή η τεχνική έχει παρατηρηθεί σε BEC επιθέσεις που αναφέρθηκαν το καλοκαίρι. Η τεχνική των χάκερς βασίζεται σε μια λειτουργία που βρίσκεται σε ορισμένες υπηρεσίες email που ονομάζεται “κανόνες αυτόματης προώθησης email”. Πρόκειται για μία λειτουργία που επιτρέπει στον κάτοχο μιας διεύθυνσης email να ρυθμίζει “κανόνες” που προωθούν ένα εισερχόμενο email σε άλλη διεύθυνση, εάν πληρούνται ορισμένα κριτήρια.
Οι χάκερς βασίζονται στους κανόνες αυτόματης προώθησης email καθώς αυτοί τους επιτρέπουν να λάβουν αντίγραφα όλων των εισερχόμενων μηνυμάτων σε ένα email, χωρίς να χρειάζεται να συνδέονται καθημερινά σε κάποιον λογαριασμό και να κινδυνεύουν να προκαλέσουν προειδοποίηση ασφαλείας για “ύποπτη” σύνδεση.
Επιπλέον, το FBI επεσήμανε ότι έλαβε πολλές αναφορές κατά τη διάρκεια του καλοκαιριού ότι αυτή η τεχνική έχει χρησιμοποιηθεί επανειλημμένα από συμμορίες που εμπλέκονται σε BEC απάτες. Πρόκειται για μια μορφή κυβερνοεγκλήματος όπου οι χάκερς παραβιάζουν λογαριασμούς email και στη συνέχεια στέλνουν email από τον παραβιασμένο λογαριασμό, προσπαθώντας να πείσουν άλλους υπαλλήλους ή επιχειρηματικούς εταίρους να εγκρίνουν πληρωμές σε λογαριασμούς που ελέγχονται από τους εισβολείς.
Το FBI ανέφερε ενδεικτικά δύο περιπτώσεις, στις οποίες οι χάκερς που βρίσκονται πίσω από BEC απάτες καταχράστηκαν τους κανόνες προώθησης email κατά τη διάρκεια των επιθέσεων τους:
- Τον Αύγουστο του 2020, οι χάκερς δημιούργησαν κανόνες αυτόματης προώθησης email στον πρόσφατα αναβαθμισμένο web client μιας εταιρείας ιατρικού εξοπλισμού με έδρα τις ΗΠΑ. Το webmail δεν συγχρονίστηκε με το desktop application και πέρασε απαρατήρητο από την εταιρεία – θύμα, η οποία τήρησε μόνο τους κανόνες αυτόματης προώθησης στον desktop client. Επιπλέον, το RSS δεν ήταν ενεργοποιημένο στο desktop application. Αφού οι χάκερς απέκτησαν πρόσβαση στο δίκτυο, πλαστογράφησαν έναν γνωστό διεθνή προμηθευτή. Δημιούργησαν ένα domain που είχε παρόμοια ορθογραφία με εκείνη του θύματος και επικοινωνούσαν με τον πωλητή χρησιμοποιώντας μια διεύθυνση IP με έδρα το Ηνωμένο Βασίλειο για να αυξήσουν περαιτέρω την πιθανότητα πληρωμής. Αξίζει να σημειωθεί, ότι οι χάκερς αποκόμισαν από το θύμα 175.000$.
- Tον Αύγουστο του 2020, σημειώθηκε άλλο ένα παρόμοιο περιστατικό, όπου οι ίδιοι χάκερς δημιούργησαν τρεις κανόνες προώθησης εντός του webmail που χρησιμοποιείται από μια κατασκευαστική εταιρεία. Ο πρώτος κανόνας προωθούσε αυτόματα τυχόν email με τους όρους αναζήτησης “τράπεζα”, “πληρωμή”, “τιμολόγιο”, “τραπεζικό έμβασμα” ή “επιταγή” στη διεύθυνση email των χάκερς. Οι άλλοι δύο κανόνες βασίστηκαν στο domain του αποστολέα και προωθήθηκαν ξανά στην ίδια διεύθυνση email.
Αξιωματούχοι του FBI λένε ότι πολυάριθμες εταιρείες σε όλο τον κόσμο πέφτουν θύματα αυτής της τεχνικής, επειδή δεν συγχρονίζουν τα email settings για web-based λογαριασμούς με desktop clients. Αυτό, με τη σειρά του, περιορίζει την ορατότητα στους διαχειριστές κυβερνοασφάλειας και το λογισμικό ασφαλείας της εταιρείας, το οποίο μπορεί να διαμορφωθεί και να ανιχνεύσει κανόνες προώθησης, αλλά μπορεί να παραμείνει “τυφλό” σε νέους κανόνες έως ότου πραγματοποιηθεί συγχρονισμός.
Το FBI PIN περιέχει μια σειρά βασικών μετριασμών και λύσεων για τους διαχειριστές συστήματος για την αντιμετώπιση αυτού του συγκεκριμένου φορέα επίθεσης και την αποτροπή μελλοντικής κατάχρησης.
Όπως αναφέρει το ZDNet, το PIN έρχεται αφότου το FBI ανέφερε νωρίτερα αυτό το έτος ότι οι BEC απάτες ήταν, μακράν, η πιο δημοφιλής μορφή κυβερνοεγκλήματος το 2019, αντιπροσωπεύοντας το 50% των απωλειών στον κυβερνοχώρο που αναφέρθηκαν πέρυσι.
