مايكروسوفت تفتقد هجمات الموردين
مايكروسوفت – ملعب ممثل التهديد. سلسلة مدونة.
هذا المنشور عبارة عن سلسلة مستمرة حول هجمات البريد الإلكتروني التي تتمحور حول الأشخاص والتي يفوتها أمان البريد الإلكتروني من Microsoft بسبب تقنيات الكشف القديمة والقيود المتأصلة.
تكلف هذه الهجمات المؤسسات ملايين الدولارات من الخسائر سنويًا وتخلق إحباطًا لفرق أمن المعلومات والمستخدمين.
في هذه السلسلة، ستتعرف على المزيد حول الهجمات التي تفتقدها Microsoft ، وسنشرح سبب تجاوز هذه الأنواع من التهديدات دفاعات أمان البريد الإلكتروني من Microsoft. هذه التهديدات هي:
- اختراق البريد الإلكتروني للأعمال (BEC)
- برامج الفدية
- احتيال المورد
- اختراق الحساب
- مشاركة الملفات المسلحة
اشترك في مدونتنا في الجزء السفلي من هذه الصفحة للبقاء على اطلاع على هذه الأخطاء التي قد تؤثر على مؤسستك.
أيضًا، استخدم عملية تقييم التهديدات الخاصة بنا لفهم مخاطر مؤسستك بشكل أفضل.
نظرة عامة على هجوم المورد
تعتبر عمليات الاحتيال التي يقوم بها الموردون مخططات معقدة ومعقدة لسرقة الأموال. يمكن أن تشمل سرقة بيانات الاعتماد والبرامج الضارة، ولكن في أغلب الأحيان تكون تهديدات BEC.
وفقًا لتقرير جرائم الإنترنت لعام 2020 الصادر عن مركز شكاوى جرائم الإنترنت التابع لمكتب التحقيقات الفيدرالي، أسفرت مخططات BEC عن خسائر بقيمة 1.9 مليار دولار العام الماضي، وهي أكبر فئة خسارة لجميع التهديدات الإلكترونية.
تتضمن استراتيجيات هجوم BEC الشائعة تقديم فاتورة احتيالية على أنها شرعية أو إعادة توجيه الدفع إلى حساب مصرفي يتحكم فيه المهاجم.
وفقًا لبحث Proofpoint ، تلقت 98٪ من 3000 مؤسسة خاضعة للمراقبة تهديدًا من مجال مورد خلال فترة سبعة أيام.
ما يقرب من ثلاثة أرباع (74٪) هذه الهجمات كانت حوادث تصيد أو انتحال.
كان أقل من 30٪ من التهديدات المرسلة من نطاقات الموردين مرتبطة بالبرامج الضارة، مما يسلط الضوء على مدى اعتماد المهاجمين بشكل كبير على الهندسة الاجتماعية على غرار BEC لتحقيق النجاح.
الشكل 1. إحصائيات احتيال المورد
يتم مشاهدة الملايين من هجمات BEC شهريًا
يكتشف Proofpoint ، في المتوسط ، ملايين هجمات BEC شهريًا. لا تتعلق كل هذه الهجمات بتسوية المورد؛ ومع ذلك، يمكن أن يكون لحملات احتيال الموردين تأثير كبير لأنها تستهدف مساحة الأعمال التجارية (B2B)، حيث يتلقى الموردون بشكل روتيني مدفوعات كبيرة مقابل سلعهم وخدماتهم.
في الشهر الماضي فقط، وفي مجموعة بيانات محدودة من تقييمات التهديدات، اكتشفت Proofpoint أكثر من 4800 تهديد BEC و84000 تهديد مرفق و168000 تهديد URL تجاوزت دفاعات Microsoft المحيطة. وجدنا، على سبيل المثال، أن:
- تلقت شركة مصرفية دولية تضم أكثر من 20000 موظف أكثر من 1800 تهديد من BEC.
- شهدت إحدى مؤسسات المنتجات الاستهلاكية التي تضم حوالي 9000 موظف تسليم أكثر من 8000 عنوان URL وتهديد للمرفقات.
- تلقت مجموعة إعلامية أوروبية تضم حوالي 2000 موظف، أكثر من 650 تهديدًا لـ BEC والتي تراجعت عن طريق أمان Microsoft.
لدى Microsoft أيضًا العديد من الأمثلة العامة لخدماتها الخاصة مثل OneDrive الذي يستضيف البرامج الضارة المرتبطة ببرامج الفدية الموضحة في الصورة أدناه.
الشكل 2. التغريدات التي تُظهر Microsoft تستضيف برامج ضارة مرتبطة ببرامج الفدية على خدمات مثل OneDrive
فيما يلي نظرة فاحصة على بعض أنواع هجمات الموردين التي فاتتها Microsoft والتي ظهرت تقييمات تهديدات Proofpoint الأخيرة.
هجمات الموردين التي فاتتها Microsoft: المثال 1
هجمات فواتير الموردين هي تهديدات شائعة جدًا على غرار B2B. في حين أن المخططات التي تستهدف المستهلكين مثل الاحتيال على بطاقات الهدايا والإغراءات مثل مخططات COVID-19 تمثل عددًا كبيرًا من تهديدات BEC، فإن الطبيعة المستهدفة أو الانتهازية للاحتيال على الموردين تعني أن الخسائر الناجمة عن هذه الهجمات منخفضة الحجم يمكن أن تكون كبيرة.
نظرة عامة على هجوم الاحتيال في فواتير المورد:
- البيئة: Microsoft 365
- فئة التهديد: BEC
- نوع الهجوم: احتيال في فاتورة المورد
- الهدف: توزيع المدفوعات
الشكل 3. مثال على احتيال المورد الذي فاتته Microsoft
تشريح الهجوم:
تجاوز هجوم إصدار الفواتير للمورد ضوابط أمان البريد الإلكتروني الأصلية من Microsoft.
استخدم المحتال، الذي يزعم أنه موظف سابق انضم إلى منظمة شريكة، حساب Gmail لطلب معلومات الحساب ومحاولة الاحتيال المالي.
يعد استخدام انتحال صفة الاسم، مصحوبًا برسالة مرسلة من Gmail أو خدمة بريد إلكتروني مجانية أخرى، تكتيكًا شائعًا يرى Proofpoint أن الجهات الفاعلة السيئة تستخدم لتجاوز عمليات التحقق من مصادقة البريد الإلكتروني مثل SPF (إطار عمل سياسة المرسل) DKIM (البريد المعرف بمفاتيح المجال).
قد تستخدم هجمات الموردين أيضًا عناوين URL أو المرفقات الضارة في الحسابات المخترقة للوصول إلى المعلومات المالية أو غيرها من البيانات عالية القيمة.
هجمات الموردين التي فاتتها Microsoft: المثال 2
تعتبر هجمات انتحال الهوية من الموردين خطيرة، ولكن الحسابات المخترقة يمكن أن تكون أكثر ضررًا.
قد يشعر المستخدمون بمستوى أعلى من الراحة عند التعامل مع هذه التهديدات لأنه حتى عند الفحص الدقيق، تبدو هذه الرسائل شرعية لأنها مرسلة من مجال شرعي.
نظرة عامة على هجوم بيانات اعتماد حساب المورد المخترق:
- البيئة: Microsoft 365
- فئة التهديد: سرقة بيانات الاعتماد
- نوع الهجوم: التصيد عن طريق تسوية المورد
- الهدف: مدير مشروع العملاء
الشكل 4: تنتحل صفحة بيانات الاعتماد أعلاه صفة تسجيل دخول إلى Microsoft Office 365، لكن فشلت Microsoft في اكتشاف هذا الهجوم وإيقافه عن الوصول إلى مستخدم
تشريح الهجوم:
تم إرسال هجوم حصاد بيانات الاعتماد هذا من حساب شرعي مخترق يخص شركة إنشاءات يتواصل معها العميل بانتظام.
كما تظهر الصورة في الشكل 3، تستخدم الصفحة انتحال هوية علامة Microsoft التجارية، حيث يحاول المهاجم الحصول على بيانات اعتماد Office 365.
فشلت Microsoft في إيقاف هذا الهجوم لعدة أسباب:
- لم يكشف فحص سمعة Microsoft عن عنوان URL؛ غالبًا ما تكافح هذه الميزة لاكتشاف عناوين URL الضارة الجديدة – بما في ذلك هذا العنوان، الذي ينتحل هوية علامة Microsoft التجارية.
- تم إرسال هذه الرسالة من مجال شرعي، لذا فإن تحليل السمعة الثابت لن يحدد المرسل على أنه ضار.
- لم يتسبب المغلف في حالات استخدام محاكاة ساخرة واضحة.
هجمات الموردين التي فاتتها Microsoft: المثال 3
إليك مثال آخر على هجوم احتيال على مورد حديث تجاوز أمان Microsoft: تهديد على غرار المرفقات من حساب مورد مخترق.
نظرة عامة على تهديد مرفق الحساب المخترق:
- البيئة: Microsoft 365
- فئة التهديد: جمع المعلومات
- نوع الهجوم: مرفق ضار
- الهدف: مخفي عبر BCC في البريد الإلكتروني
الشكل 5. مثال على هجوم Loki Bot فاته Microsoft
تشريح الهجوم:
في هذا الهجوم الذي تم إرساله من عميل مخترق، احتوت الرسالة على مستندات Word التي استغلت العديد من نقاط الضعف في محرر المعادلات لتنزيل Loki Bot.
يمكن لهذا الروبوت سرقة كلمات المرور من المتصفحات وتطبيقات FTP / SSH وحسابات البريد الإلكتروني.
فات Microsoft هذا الهجوم لأسباب مختلفة:
- نشأت الرسالة من مجال شرعي، لذلك لم يحدد تحليل السمعة الثابت الرسالة على أنها ضارة.
- اجتازت الرسالة مصادقة نظام التعرف على هوية المرسل (SPF).
- استخدمت الحمولة الخبيثة تقنيات التهرب من وضع الحماية وإخفاء الملفات.
كان أمان البريد الإلكتروني المتقدم في Proofpoint قد اكتشف هذا التهديد ومنعه أيضًا.
في الواقع، كان من الممكن أن يقوم Proofpoint باكتشاف الرسائل وحظرها في جميع الأمثلة المذكورة أعلاه لهجمات احتيال الموردين التي فاتتها Microsoft.
كيف توقف Proofpoint هجمات الموردين
Proofpoint هو البائع الوحيد الذي يوفر حلاً شاملاً ومتكاملاً لموردي القتال
الهجمات. لقد قمنا ببناء تقنيات اكتشاف متعددة الطبقات، بما في ذلك منصة اكتشاف BEC التي تم إطلاقها مؤخرًا والمعروفة باسم Supernova ، للدفاع ضد التهديدات المتطورة باستمرار.
يستخدم هذا النظام الأساسي القياس عن بعد للبوابة الواردة والصادرة، وتحليلات مخاطر سلسلة التوريد، وبيانات واجهة برمجة التطبيقات من منصات الإنتاجية السحابية للكشف عن أكثر هجمات الاحتيال عبر البريد الإلكتروني تعقيدًا.
تساعد ميزة مستكشف مخاطر الموردين في Nexus في حل Proofpoint Email Fraud Defense المؤسسات على أن تكون أكثر استباقية في اكتشاف ومنع مخاطر الاحتيال على الموردين، بما في ذلك الهجمات باستخدام الحمولات الضارة.
مجموعة بياناتنا التي لا مثيل لها – والتي تأتي من النطاق العالمي، وعمليات النشر التي نقوم بها لحماية ناقل التهديد رقم واحد في أكثر من Fortune 100 و Fortune 1000 و Global 2000 أكثر من أي مزود أمان آخر – تدرب مكونات التعلم الآلي لعنوان URL وحماية المرفقات في مستكشف مخاطر الموردين.
الشكل 6: مستكشف مخاطر الموردين من Proofpoint يحدد مجالات الموردين ويوفر رؤية للموردين الذين يشكلون خطرًا على مؤسستك
توصيات لوقف هجمات الموردين
تتخذ Proofpoint نهجًا متعدد الطبقات لإيقاف هجمات الموردين من خلال منصة الحماية من التهديدات الخاصة بنا.
تتضمن بعض هذه الطبقات قدراتنا الرائدة في الكشف والعزل والمصادقة والتعليم والمعالجة الآلية.
نستخدم أيضًا التعلم الآلي وتقنية وضع الحماية المتقدمة لإيقاف BEC و ransomware والتصيد الاحتيالي والاستيلاء على الحساب وأنواع أخرى من التهديدات.
لمعرفة المزيد حول كيف يمكن لمنصة اكتشاف التهديدات من Proofpoint إيقاف هجمات الموردين والتهديدات الأخرى التي تستهدف بيئتك، اتصل بنا للحصول على تقييم مجاني للتهديدات.
المصدر: proofpoint
شاهد ايضا:
