İş E-postası İhlali (BEC), Dolandırıcılık Yönetimi ve Siber Suçlar
BulletProofLink, İmkansız Seyahat Tespitini Engellemenin Bir Yolu Buldu
Prajeet Nair (@prajeetspeaks) •
19 Mayıs 2023
Büyük ölçekli bir hizmet olarak kimlik avı operasyonu, saldırganların yerelleştirilmiş IP adreslerini kullanarak anormallik tespitinden kaçınmasına izin verecek şekilde taktik değiştiriyor, Microsoft’u uyarıyor.
Ayrıca bakınız: E-posta Raporlama ve Düzeltme
Bilgi işlem devi, sağlayıcıyı, tek seferde 300.000’den fazla alan adı ve benzersiz alt alan adı kullanan bir kimlik avı kampanyası tespit ettikten sonra 2021’de keşfetti. BulletProftLink veya Anthrax olarak da adlandırılan BulletProofLink, kimlik avı kitlerine, e-posta şablonlarına, barındırmaya ve otomatik dizilere erişimi “nispeten düşük bir maliyetle” satar (bkz.: Microsoft, Hizmet Olarak Kimlik Avı Operasyonunu Analiz Ediyor).
BulletProofLink ayrıca, faturalar veya diğer finansal ayrıntılar için talepler kisvesi altında yasal kaynaklardan geliyormuş gibi görünen dolandırıcılık mesajları gönderme uygulaması olan iş e-postası uzlaşma işinde de yer almaktadır. BEC genellikle iş ortaklarıyla iletişim kurmak için kullanılan meşru bir işletmenin güvenliği ihlal edilmiş bir hesabını içerir.
ABD Gizli Servisi, BEC olaylarının küresel şirketlere beş yıllık bir süre içinde 43 milyar dolardan fazla zarara mal olduğunu bildirdi (bakınız: ABD Gizli Servisi Ticari E-posta Uzlaşmasına Karşı).
Microsoft’un Dijital Suç Birimi, BulletProofLink’in artık saldırganlara hedeflenen kurbanın konumuyla eşleşen konut telekomünikasyonlarından satın alınan IP adreslerini sattığını söylüyor. IP eşleştirme, bir uzlaşmayı belirtmek için kullanılan “imkansız seyahat” anormallik algılamasının üstesinden gelmek için bir taktiktir. Yöntem, adını önerdiği buluşsal yöntemden alır – bir kullanıcı, farklı konumlarla eşleşen farklı IP adreslerinden bir hizmette oturum açarsa, oraya fiziksel olarak ulaşması için gereken süreden daha kısa sürede hesabın güvenliği ihlal edilebilir.
Şirket, “Microsoft, Asya’daki ve bir Doğu Avrupa ülkesindeki tehdit aktörlerinin bu taktiği en sık kullandığını gözlemledi” diyor.
Microsoft ayrıca, kötü aktörler tarafından yeniden satılan IP adresinin daha da kötüleşmeye hazır bir sorun olduğu konusunda uyarıyor. “Ölçekli konumlarla eşlenen mesken IP adresleri, siber suçluların güvenliği ihlal edilmiş büyük hacimli kimlik bilgilerini toplama ve hesaplara erişme yeteneği ve fırsatı sağlıyor.”