נוכלי דוא"ל מתפתחים: הנה איך להגן על עצמך

מאת דני ברדבורי • 17 אפריל 2025

פושעי סייבר משקשקים על ידיות הדלתות של תאגידים על בסיס קבוע, אך מעטות התקפות הן ערמומיות וחצופות כמו פשרה באימייל עסקי (BEC). התקפת הנדסה חברתית זו משתמשת בדוא"ל כנתיב לארגון, ומאפשרת לתוקפים לרמות קורבנות מכספי החברה.

התקפות BEC משתמשות לעתים קרובות בכתובות דוא"ל שנראות כאילו הן מגיעות מחברה של הקורבן עצמו או משותף מהימן כמו ספק. דומיינים אלה מאויתים לעתים קרובות בצורה שגויה, או משתמשים בקבוצות תווים שונות כדי לייצר דומיינים שנראים כמו מקור מהימן אך הם זדוניים.

עובדים בעלי עין נשר יכולים לזהות את הכתובות הזדוניות הללו, ומערכות דוא"ל יכולות לטפל בהן באמצעות כלים להגנה על דואר אלקטרוני כמו פרוטוקול אימות דוא"ל מבוסס דומיין, דיווח והתאמה (DMARC). אבל מה אם תוקף מסוגל להשתמש בדומיין שכולם סומכים עליו?

כאשר לא ניתן לסמוך על מקורות מהימנים

חברת אבטחת הסייבר Guardz התגלה לאחרונה תוקפים שעושים בדיוק את זה. ב-13 במרץ היא פרסמה ניתוח של מתקפה שהשתמשה במשאבי הענן של מיקרוסופט כדי להפוך מתקפת BEC למשכנעת יותר.

התוקפים השתמשו בדומיינים של החברה עצמה, תוך שימוש בתצורות שגויות של דיירים כדי למשוך שליטה ממשתמשים לגיטימיים. תוקפים משיגים שליטה במספר דיירים ארגוניים של M365, על ידי השתלטות על חלק או רישום משלהם. התוקפים יוצרים חשבונות ניהול על הדיירים הללו ויוצרים את כללי העברת הדואר שלהם.

לאחר מכן, הם משתמשים לרעה בתכונה של מיקרוסופט שמציגה את שם הארגון, תוך שימוש בו כדי להכניס אישור עסקה הונאה, יחד עם מספר טלפון להתקשרות לבקשת החזר. טקסט דיוג זה עובר דרך המערכת מכיוון שכלי אבטחת דוא"ל מסורתיים אינם סורקים את שם הארגון לאיומים. המייל מגיע לתיבת הדואר הנכנס של הקורבן מכיוון שלדומיין של מיקרוסופט יש מוניטין טוב.

כאשר הקורבן מתקשר למספר, התוקף מתחזה לסוכן שירות לקוחות ומשכנע אותם להתקין תוכנות זדוניות או למסור מידע אישי כגון אישורי הכניסה שלהם.

גאות עולה של התקפות BEC

מתקפה זו מדגישה את הספק המתמשך של התקפות BEC, שהסלימו עם הזמן. הנתונים העדכניים ביותר (2024) מה-FBI דיווח 55.5 מיליארד דולר בהפסדים גלובליים של BEC בין 2013 ל-2023 - עלייה מ- כמעט 51 מיליארד דולר דיווח בשנה הקודמת.

זו גם לא הפעם הראשונה שהתקפות BEC ופישינג מכוונות למשתמשי Microsoft 365. בשנת 2023, חוקרים ציין העלייה המהירה של W3LL, ערכת דיוג שסכנה במיוחד את חשבונות Microsoft 365 על ידי עקיפת אימות רב-גורמי.

מה אתה יכול לעשות

הגישה הטובה ביותר לצמצום התקפות BEC היא, כמו ברוב ההגנות האחרות על אבטחת סייבר, רב-שכבתית. פושעים עשויים לפרוץ שכבת הגנה אחת, אך יש סיכוי נמוך יותר להתגבר על מכשולים מרובים. מסגרות אבטחה ובקרה, כגון ISO 27001 ו מסגרת אבטחת הסייבר של NIST, הם מקורות טובים לאמצעים שיעזרו להתחמק מהרמאים. אלה עוזרים לזהות נקודות תורפה, לשפר את פרוטוקולי אבטחת הדוא"ל ולהפחית את החשיפה להתקפות מבוססות אישורים.

בקרות טכנולוגיות הן לרוב נשק שימושי נגד רמאים של BEC. שימוש בבקרות אבטחת דוא"ל כגון DMARC בטוח יותר מאשר לא, אבל כפי שמציין Guardz, הם לא יהיו יעילים נגד התקפות באמצעות דומיינים מהימנים.

אותו דבר לגבי סינון תוכן באמצעות אחד מכלי אבטחת הדוא"ל הרבים הזמינים. למרות שזה לא היה תופס את טכניקת הטבעת האיום הערמומית ששימשה במתקפה שדווחה במרץ הקרוב, בכל זאת מדובר באמצעי שימושי באופן כללי. ניתוח תוכן מתקדם שמסתכל על שדות ארגוניים ומטא נתונים הוא אופטימלי.

באופן דומה, מדיניות גישה מותנית היא דרך חשובה לעצור כמה מתקפות BEC, כולל שימוש באימות רב-גורמי (MFA). עם זאת, הגנה זו, המשתמשת במנגנון אימות שני מחוץ לפס כדי לאשר את זהות המשתמש, אינה חסינת תקלות. התקפות פרוקסי הפוך, שבהן התוקף משתמש בשרת ביניים כדי לאסוף את אישורי ה-MFA של הקורבן, ידועות היטב. מתקפה אחת כזו התרחשה בשנת 2022, והתמקדה ב-10,000 ארגונים המשתמשים ב-M365. אז, השתמש ב-MFA, אבל אל תסתמך על זה לבד.

קבל עובדים על הסיפון

התקפות רבות מסוכלות לא על ידי בקרות טכניות אלא על ידי עובד ערני הדורש אימות של בקשה חריגה. הפצת הגנות על פני היבטים שונים של הארגון שלך היא דרך טובה למזער סיכונים באמצעות אמצעי הגנה מגוונים. זה הופך אנשים ובקרות ארגוניות למפתחות בעת מאבק ברמאים. ערכו הכשרה קבועה לזיהוי ניסיונות BEC ואימות בקשות חריגות.

מנקודת מבט ארגונית, חברות יכולות ליישם מדיניות הכופה תהליכים מאובטחים יותר בעת ביצוע הוראות בסיכון גבוה - כמו העברות מזומנים גדולות - שרמאים של BEC מכוונים אליהם לעתים קרובות. הפרדת תפקידים - בקרה ספציפית במסגרת ISO 27001 - היא דרך מצוינת להפחית סיכונים על ידי הבטחה שנדרש מספר אנשים כדי לבצע תהליך בסיכון גבוה.

מהירות חיונית כאשר מגיבים להתקפה שאכן עוברת את הפקדים השונים הללו. לכן זה גם רעיון טוב לתכנן את תגובת התקרית שלך לפני שמתרחשת התקפת BEC. צור ספרי משחק לאירועי BEC חשודים, כולל תיאום עם מוסדות פיננסיים ורשויות אכיפת החוק, שמתארים בבירור מי אחראי לאיזה חלק בתגובה וכיצד הם מקיימים אינטראקציה.

ניטור אבטחה רציף - עיקרון בסיסי של ISO 27001 - הוא גם חיוני לאבטחת דוא"ל. תפקידים משתנים. אנשים עוזבים. שמירה על עין ערנית על הרשאות ומעקב אחר נקודות תורפה חדשות היא קריטית כדי להרחיק את הסכנות.

הרמאים של BEC משקיעים בפיתוח הטכניקות שלהם כי הם רווחיים. כל מה שצריך הוא הונאה אחת גדולה כדי להצדיק את העבודה שהם השקיעו במיקוד למנהלי מפתח בבקשות כספיות. זו הדוגמה המושלמת לדילמה של המגן, שבה תוקף צריך להצליח רק פעם אחת, בעוד שמגן חייב להצליח בכל פעם. אלה לא הסיכויים שהיינו רוצים, אבל הצבת בקרות אפקטיביות עוזרת לאזן אותם בצורה שוויונית יותר.

דני ברדברי

דני ברדבורי הוא עיתונאי דפוס המתמחה בטכנולוגיה מאז 1989 וכותב עצמאי מאז 1994. הוא כתב עבור פרסומים לאומיים משני צדי האוקיינוס האטלנטי וזכה בפרסים על עבודתו העיתונות החוקרת בתחום אבטחת הסייבר.