ФБР предупреждает организации США о поддельных запросах экстренных данных со стороны киберпреступников

ФБР предупреждает организации США о поддельных запросах экстренных данных со стороны киберпреступников

Довольно интересным событием стало то, что ФБР выпустило срочное предупреждение для организаций США о растущей тактике киберпреступности: поддельные экстренные запросы данных (EDR). Киберпреступники все чаще выдают себя за сотрудников правоохранительных органов, чтобы воспользоваться этой лазейкой, используя мошеннические EDR для сбора конфиденциальных персональных данных американских компаний. Поскольку эти атаки набирают обороты, организации должны быть бдительны, чтобы защищать конфиденциальность своих клиентов и предотвращать утечки данных.

Что такое экстренные запросы данных и почему они опасны?

Запросы экстренных данных позволяют правоохранительным органам быстро запрашивать информацию у поставщиков услуг в экстренных ситуациях без формальной повестки. Разработанные для ситуаций, когда решается вопрос жизни или смерти, EDR обходят обычные юридические процессы, чтобы обеспечить быстрый доступ к информации. Однако киберпреступники нашли способ злоупотреблять этой системой, подделывая экстренные запросы, используя скомпрометированные учетные записи электронной почты государственных учреждений, чтобы их схемы выглядели законными.

Предупреждение ФБР показало, что злоумышленники, включая такие известные группы, как Lapsus$, все чаще используют поддельные EDR для сбора персонально идентифицируемой информации (PII) у крупных компаний, стремясь использовать эти данные в различных преступных целях, от кражи личных данных до вымогательства. С помощью фишинга и тактики социальной инженерии киберпреступники получают доступ к официальным учетным записям электронной почты правительства или правоохранительных органов. Используя эти учетные записи, они отправляют мошеннические EDR компаниям, базирующимся в США, которые часто раскрывают конфиденциальную информацию клиентов под предлогом законной чрезвычайной ситуации.

Роль форумов киберпреступности в усилении угрозы

Форумы киберпреступников стали питательной средой для обмена знаниями об этом методе. ФБР отмечает, что в последние месяцы на форумах стало появляться все больше сообщений с подробным описанием того, как эксплуатировать EDR. Например, один киберпреступник недавно рекламировал адреса электронной почты .gov для продажи, хвастаясь тем, что эти учетные данные могут быть использованы для шпионажа, социальной инженерии или отправки мошеннических запросов данных.

Тенденция усилилась в начале 2024 года, когда один из злоумышленников на форуме заявил, что у него есть правительственные адреса электронной почты из 25 стран, и планирует использовать их в поддельных EDR для получения конфиденциальной информации, такой как имена пользователей, номера телефонов и адреса электронной почты. Другой киберпреступник заявил, что пытался использовать PayPal с помощью мошеннического запроса данных в соответствии с Договором о взаимной правовой помощи (MLAT). Хотя PayPal в конечном итоге обнаружил и отклонил запрос, эти попытки подчеркивают серьезный риск для организаций, которые управляют большими объемами данных клиентов.

Почему поддельные запросы на экстренные данные трудно обнаружить

Киберпреступники полагаются на срочный характер EDR, чтобы ускорить свой успех. Часто компании, особенно те, у которых ограниченные ресурсы или опыт в области кибербезопасности, не могут рассматривать экстренный запрос так же тщательно, как стандартную повестку, из-за предполагаемой срочности. Манипулируя чувством безотлагательности, преступники используют кратчайший путь в процессе проверки.

Чтобы сделать свои мошеннические запросы более правдоподобными, эти злоумышленники часто используют сложные методы социальной инженерии. Они могут добавлять поддельные подписи, логотипы, выглядящие как настоящие, или правдоподобные юридические ссылки, чтобы их запросы выглядели законными. ФБР предупреждает организации о необходимости проверять любые несоответствия в этих запросах, такие как несоответствия в логотипах или необычные юридические коды, которые не соответствуют тем, которые обычно используются предполагаемым органом власти.

Меры, которые организации могут предпринять для защиты от поддельных запросов на экстренные данные

Поскольку ФБР бьет тревогу по поводу этой растущей угрозы, компаниям крайне важно принять упреждающие меры для защиты от поддельных EDR и подобных тактик социальной инженерии. Вот основные рекомендации по защите вашей организации и ее данных:

1. Укрепляйте каналы связи с ФБР : организации, которые часто получают EDR, должны выстраивать и поддерживать прочные отношения с представителями ФБР. Тесное сотрудничество с федеральными властями может обеспечить более быстрое обнаружение и реагирование на подозрительные запросы.
2. Обзор и улучшение планов реагирования на инциденты : обновление процедур реагирования на инциденты с целью включения проверок, специально предназначенных для подтверждения подлинности EDR. Этот процесс должен включать несколько уровней обзора и четкие протоколы для маркировки потенциально мошеннических запросов.
3. Обучение персонала рискам социальной инженерии : обучение персонала выявлению красных флажков, таких как измененные изображения, подписи или необычные юридические ссылки, имеет решающее значение. Сотрудники должны иметь право подвергать сомнению законность любого запроса, который вызывает опасения, особенно в условиях высокого давления.
4. Внедрение лучших практик обеспечения безопасности :
   • Протоколы MFA и надежных паролей : требование многофакторной аутентификации (MFA) и надежного управления паролями снижает вероятность несанкционированного доступа.
   • Доступ по времени для учетных записей администраторов : ограничение административного доступа установленными периодами времени, что сокращает период возможного несанкционированного использования.
   • Регулярные оценки безопасности : проводите плановые оценки учетных записей пользователей и контроллеров домена, чтобы обнаружить любые признаки взлома или несанкционированного доступа.
   • Ограничьте удаленный доступ и сегментируйте сети : контролируйте доступ к конфиденциальным данным с помощью удаленных служб и сегментации сети. Разделение доступа к данным снижает уязвимость в случае нарушения.
   • Управление уязвимостями : постоянно обновляйте и устанавливайте исправления для систем, чтобы устранить уязвимости, которыми могут воспользоваться киберпреступники.
5. Проверяйте экстренные запросы данных с особой осторожностью : всегда сверяйте юридические коды в EDR, чтобы подтвердить, что они соответствуют исходному органу. Просматривайте все прикрепленные изображения на предмет признаков подделки или несоответствий, которые могут указывать на мошенничество. Уделение нескольких дополнительных минут проверке запроса может предотвратить серьезные утечки данных.

Поскольку киберпреступники становятся все более искусными в манипулировании законными процессами, организации должны сохранять бдительность. Последнее предупреждение ФБР служит напоминанием о том, что киберпреступность становится все более изощренной, и проактивная защита имеет важное значение. Внедряя строгие методы проверки, поддерживая тесные отношения с правоохранительными органами и инвестируя в обучение по кибербезопасности, организации могут снизить риск стать жертвой этих мошенничеств.

Всплеск поддельных экстренных запросов данных подчеркивает необходимость для компаний постоянно адаптироваться к меняющемуся ландшафту киберугроз. Хотя срочность запроса может заставить организации действовать быстро, тщательная проверка может стать решающим фактором между защищенной базой данных и катастрофической утечкой данных. В современном мире осторожный, скептический подход к экстренным запросам данных имеет важное значение для любой организации, работающей с конфиденциальной информацией.