İş E -posta Uzlaşma (BEC) saldırılarının hasar vermek için kötü amaçlı yazılımlara ihtiyacı yoktur. Tek gereken ikna edici bir mesaj; Sahte bir giriş istemi, akıllıca gizlenmiş bir bağlantı ve bir çalışanın kimlik bilgileri gitti.
Saldırganlar oradan gelen kutulara sessizce erişebilir, hassas belgeleri dışarı atabilir ve yöneticileri finansal sahtekarlık için taklit edebilir.
En kötü yanı, bu saldırıların genellikle standart e -posta filtreleri ve antivirüs araçları tarafından kaçırılmasıdır.
.png
)
Bu nedenle güvenlik ekipleri, otomatik araçların yapamayacağı şeyleri yakalamak için etkileşimli kum havuzu gibi çözümlere yöneliyor.
Bec’i tespit etmeyi zorlaştıran nedir?
İşletme e -posta uzlaşması belirgin dijital parmak izleri bırakmaz. Bunun yerine, temiz altyapı, normal görünümlü mesajlar ve ince sosyal mühendislik kullanarak düz bir şekilde gizlenir.
İşte bu yüzden sık sık fark edilmiyorlar:
- İyi gizlenmiş niyet – Kötü amaçlı yazılım yok, sadece rutin iş olarak gizlenmiş bağlantılar.
- Güvenilir Platformlar – Nadiren bayrakları yükselten OneDrive veya Google Forms gibi hizmetlerde barındırıldı.
- Zincirleri yeniden yönlendir – Gerçek kimlik avı sayfası görünmeden önce birden fazla şerbetçiotu.
- Captchas ve Blockers – Botlarını ve otomatik tarayıcıları izlerinde durdurmak için tasarlanmıştır.
- İnsan ilk taktikleri – Kod yürütme değil, sosyal baskıya dayanır.
- Bağlam-duyarlı mesajlar – Şüphe önlemek için isimler, roller ve iç dillerle uyarlanmıştır.
BEC saldırısını tespit etmenin en hızlı yolu
Zaman kritik olduğunda, bir karar için bekleme saatleri onu kesmez. Etkileşimli kum havuzları, güvenlik ekiplerine şüpheli dosyaları veya URL’leri araştırma gücü verir dakikalar içinde, saatler veya günler değil.
Analistler statik taramalara veya günlüklere güvenmek yerine Saldırının gerçek zamanlı olarak ortaya çıkmasını izleyingerçek bir kullanıcı gibi etkileşim kurun ve tehdidin tam kapsamını ortaya çıkarın.
To show how this works in practice, let’s take a look at a real-world phishing attack detonated inside ANY.RUN’s Interactive Sandbox.Saldırı ile Analiz Oturumunu Görüntüle
Bu saldırı, büyük bir yeşil içeren görünüşte zararsız bir e -posta ile başlar “Sesle oyna” düğme, tarafından kullanılan yaygın bir cazibe Tycoon2fa phishing kitibugün kurumsal ortamlarda en yaygın tehditlerden biri.
Sandbox’ın tam zinciri nasıl ortaya çıkardığı aşağıda açıklanmıştır:
1. E -postayı güvenli bir VM’de açmak
E -posta sanal alanına yüklenir ve tamamen izole edilmiş bir pencere ortamının içinde açılır. Analist, daha sonra ne olacağını görmek için “Sesi Oynat” düğmesini güvenli bir şekilde tıklayabilir, gerçek sistemleri için risk yoktur.
2. yönlendirme zincirini takiben
Analize başlamadan önce kullanıcılar etkinleştirebilir Otomatik etkileşim, Düğmeleri tıklamak, captchas’ı çözmek ve yönlendirmeleri gezmek gibi gerçek kullanıcı davranışını simüle eden herhangi bir özelliği.
Açıldıktan sonra, sanal alan bu tekrarlayan görevleri otomatik olarak devralır ve analistlerin manuel giriş olmadan tam saldırı akışını gözlemlemelerine izin verir.
Equip your team with real-time phishing detection, automated analysis, and full attack chain visibility — all in one interactive sandbox.– Herhangi birine katılın. Şimdi
Örneğimizde, “Sesi Oynat” düğmesini tıklamak, son kimlik avı hedefini gizlemek için kullanılan klasik bir kaçış tekniği olan bir dizi yönlendirmeyi tetikler.
Sonunda, bir Captcha Mücadelesi Görünür, otomatik tarayıcıları engellemek için tasarlanmıştır.
Ancak otomatik etkileşim etkinken, Herhangi bir.run bunu sorunsuz bir şekilde ele alıyorCaptcha’yı çözmek ve analiz akışını sürdürmek, değerli zamandan tasarruf etmek ve iş yükünü azaltmak.
Sandbox, nihai kimlik avı sayfasına herhangi bir manuel çaba olmadan saniyeler içinde ulaşır ve hızlı triyaj veya yüksek hacimli uyarı kuyruğu için idealdir.
3. Son Kimlik Yardım Sayfasına Ulaşarak
Captcha’yı çözdükten sonra, kum havuzu bir Sahte Microsoft Giriş Sayfası; Temiz tasarım, tanıdık marka, ancak rastgele karakterler ve eksik bir favicon ile dolu şüpheli bir URL.
Kırmızı bayraklar bir kullanıcının kaçırabileceği ama kum havuzu yapmaz.
4. Teknik detayları ortaya çıkarmak
Any gibi etkileşimli kum havuzları. Ekibinizin tehdidin nasıl çalıştığını ve nereye yanıt verileceğini tam olarak anlayabilmesi için tüm saldırı zincirini haritalayın.
İşte bu oturumda Tycoon Saldırısı ile ortaya çıkan kum havuzunun birkaç ayrıntı:
Tam İşlem Ağacı
Bu durumda, işlem ağacı, “Ses Oynat” düğmesini tıkladıktan sonra başlatılan şüpheli bir tarayıcı işlemini açıkça işaretledi. Olarak etiketlendi Kimlik avıtarayıcı yönlendirmeleri ve komut dosyası yürütme gösteren alt işlemlerle.
Run, kimlik avı sayfasının nasıl ulaşıldığına dair adım adım bir döküm sağlar ve ekiplere kullanıcı eylemlerinde sıklıkla gizlenen çok aşamalı BEC tehditlerini izlemek için gereken görünürlüğü verir.
Ağ istekleri: Sandbox, rastgele, markalı olmayan bir alanda barındırılan sahte bir Microsoft oturum açma sayfası olan yönlendirme URL’leri ve son kimlik avı alanı dahil olmak üzere her HTTP/HTTPS isteğini yakaladı.
Sandbox’ın Tycoon2FA kitinin arkasındaki tam saldırgan altyapısını nasıl ortaya çıkardığını ve ekiplerin kötü niyetli uç noktaları engellemesine ve kimlik avı kampanyasının nasıl kurulduğunu anlamalarına izin verdiğini görüyoruz.
Suricata uyarıları : Oturum sırasında bir Suricata kuralı ateş etti: “Kimlik avı [ANY.RUN] Şüpheli Tycoon2fa’nın kimlik avı-kit alanı ”.
Bu uyarı, tehdidi belirli bir algılama imzasıyla anında doğrular, karar alma sürecini hızlandırır ve güvenlik ekiplerinin güvenle yanıt vermesine izin verir.
Tagged Karar : Herhangi bir.run, örneği otomatik olarak etiketledi. Tycoon2fa phishing kitisahte giriş akışının arkasındaki kampanyayı belirleme.
Tahminleri ortadan kaldırır ve hızlı triyaj sağlar; Genç analistler bile derin manuel soruşturma olmadan tehdidi hızlı bir şekilde sınıflandırabilir ve rapor edebilirler.
Etkileşimli Sandbox, BEC tehditlerinin önünde kalmanıza nasıl yardımcı olur?
Etkileşimli kum havuzu, ekiplere, iş e -postası tehlike tehditlerini tırmanmadan önce tespit etmek ve yanıtlamak için ihtiyaç duydukları bağlam, görünürlük ve hızı verir.
İşte herhangi biri. Run bu avantajı sunar:
- Tehdit davranışına canlı görünürlük
İlk cazibeden yeniden yönlendirmeye, Captcha zorluklarına ve son kimlik avı sayfasına gerçek zamanlı olarak tam saldırı zincirinin ortaya çıkmasını izleyin.
- Daha hızlı, daha emin kararlar
Daha hızlı triyaj ve yanıtı destekleyen davranışsal kanıtlarla 40 saniyenin altında bir ilk karar alın.
- İş yükünü azaltmak için otomatik etkileşim
Düğmeleri tıklamak, CAPTCHA’ları çözmek ve yönlendirmeleri takip etmek gibi yaygın kullanıcı eylemlerini otomatikleştirin. Bu zaman kazandırır ve analistlerin daha üst düzey karar almaya odaklanmasına yardımcı olur.
- Bulut tabanlı, kurulum gerekmez
Dosyaları ve URL’leri her yerden güvenli bir sanal ortamda analiz edin, altyapı bakımı veya yerel yapılandırmaya gerek yok.
- Merkezi IOC koleksiyonu
Bir tıklamada, engelleme, raporlama veya zenginleştirmeye hazır alan adlarını, IPS, URL’leri, dosya karmalarını ve diğer uzlaşma göstergelerini toplayın ve dışa aktarın.
- Yerleşik tehdit sınıflandırması
Tanımlamayı hızlandırmak için etiketli süreçler, tetiklenen Suricata kuralları ve kampanya düzeyinde etiketleme (örn. Tycoon2fa) ile hemen bağlam alın.
- Tüm analist beceri seviyelerini destekler
İster genç SOC analisti ister kıdemli bir tehdit avcısı olsun, herhangi bir.run, araştırmayı, öğrenmeyi ve işbirliğini desteklemek için sezgisel bir arayüz ve ayrıntılı raporlama sunar.
- Güvenlik iş akışlarını iyileştirir
Uyarı yorgunluğunu azaltır, olay tepkisi süresini kısaltır ve ekiplerin gerçek tehditlere yanlış pozitiflere göre öncelik vermesine yardımcı olur.
Equip your team with the solution to detect sophisticated phishing threats in real time, reduce analyst workload, and respond with confidence: Join ANY.RUN to experience its full capabilities for 14 days →