雲端安全解決方案供應商Barracuda發表最新一份威脅聚焦報告,指黑客成功入侵企業電郵帳戶後,可濫用收件匣規則以逃避偵測,同時透過被入侵的收件匣,將信息悄悄移出企業網絡,還可令受害者看不到安全警告,將指定郵件儲存在鮮為人知的文件夾內,令受害者不易找到,而黑客亦可假扮資深行政人員,藉要求刪除訊息以勒索金錢。Barracuda安全人員建議,企業電郵一旦被入侵,除了要盡快清除惡意規則,事前也要從多方面採取防禦措施,例如使用XDR雲端安全和由安全營運中心提供全天候監控。
Barracuda電郵保護產品管理經理Prebh Dev Singh表示,濫用電郵收件匣規則是非常有效的攻擊策略,攻擊可隱蔽進行之餘,一旦黑客入侵帳戶後便容易實行。儘管電郵偵測多年來已經取得進展,並且機器學習的使用令可疑的規則創建更易被發現,但Barracuda的偵測數據顯示,攻擊者仍成功使用這種技術。惡意規則的創建嚴重威脅機構的數據和資產完整性。這種後入侵技術表明公司已經遭到攻擊者入侵網絡,並要立即採取行動將其清除。
報告又指,一旦黑客成功入侵受害者的電郵帳戶,例如通過釣魚攻擊或盜竊得來的憑證,他們可以設置一個或多個自動化電郵規則,令他們可以隱秘而持久地訪問郵箱,並用於各種惡意目的,包括:
- 盜取訊息或金錢,並延遲偵測。攻擊者或會設立一個規則,將包含敏感且有可能帶來利潤關鍵詞(如「付款」,「發票」或「機密」)的所有郵件轉發到外部地址。
- 通過將此類郵件移至甚少使用的文件夾,標記為已讀或直接刪除,隱藏特定的入站郵件,例如安全警報或指揮及控制通訊。
- 監視受害者的活動,並收集有關受害者或其機構的情報,以用於進一步的利用或操作。
- 針對商業電郵騙案(BEC)攻擊設置一個規則,刪除特定同事的所有收件,例如首席財務官(CFO)。黑客可以藉這類攻擊假扮CFO,向同事發送假電郵,讓他們將公司資金轉到黑客控制的銀行帳戶中。
如果惡意規則未被發現及移除,即使受害者更改密碼、打開多重身份驗證、實施了其他嚴格的有條件訪問政策,或完全重建了他們的電腦,該規則仍然有效。
要對抗惡意電郵收件匣規則,企業需要採取多種有效的防禦措施:
- 最有效的保護是預防 – 機構應從一開始便阻止黑客入侵帳戶。
- 您還需要有效的偵測和回應事件措施,以識別遭受入侵的帳戶並減輕影響。這包括完全了解每個員工收件匣中正在進行的每個操作、創建的規則、修改或訪問的內容、用戶的登入記錄、已發送郵件的時間、地點和內容等等。
- 基於人工智能的保護措施,會使用這些數據為每個用戶創建智能帳戶配置文件 – 任何細微的異常情況都會立即被標記並引起關注。
- 冒充保護使用多種信號,以識別帳戶是否已受到接管攻擊,如登錄數據、郵件數據和統計模型以及規則等。
- 最後,跨層級偵測與回應(XDR)措施,包括Barracuda的XDR雲端安全和由安全營運中心(SOC)提供的全天候監控,即使是深度隱藏和模糊的活動,也能被發現和消除。