E-postsvindlere utvikler seg: Slik beskytter du deg selv

Av Danny Bradbury • 17 april 2025

Nettkriminelle rasler konstant på bedriftens dørhåndtak, men få angrep er så utspekulerte og frekke som forretningse-postkompromiss (BEC). Dette sosiale ingeniørangrepet bruker e-post som en vei inn i en organisasjon, og gjør det mulig for angripere å lure ofre ut av selskapets midler.

BEC-angrep bruker ofte e-postadresser som ser ut som om de kommer fra et offers eget selskap eller en pålitelig partner som en leverandør. Disse domenene er ofte feilstavet, eller bruker forskjellige tegnsett for å produsere domener som ser ut som en pålitelig kilde, men som er skadelige.

Ørneøyde ansatte kan oppdage disse ondsinnede adressene, og e-postsystemer kan håndtere dem ved å bruke e-postbeskyttelsesverktøy som domenebasert meldingsgodkjenning, rapportering og samsvar (DMARC) e-postautentiseringsprotokoll. Men hva om en angriper er i stand til å bruke et domene som alle stoler på?

Når pålitelige kilder ikke kan stoles på

Cybersikkerhetsselskapet Guardz Nylig oppdaget angripere som gjør nettopp det. Den 13. mars publiserte den en analyse av et angrep som brukte Microsofts skyressurser for å gjøre et BEC-angrep mer overbevisende.

Angripere brukte selskapets egne domener, og utnyttet feilkonfigurasjoner av leietakere for å fravriste kontrollen fra legitime brukere. Angripere får kontroll over flere M365 organisatoriske leietakere, enten ved å overta noen eller registrere sine egne. Angriperne oppretter administrative kontoer på disse leietakerne og oppretter reglene for videresending av e-post.

De misbruker deretter en Microsoft-funksjon som viser en organisasjons navn, og bruker den til å sette inn en falsk transaksjonsbekreftelse, sammen med et telefonnummer for å ringe for en refusjonsforespørsel. Denne phishing-teksten kommer gjennom systemet fordi tradisjonelle e-postsikkerhetsverktøy ikke skanner organisasjonsnavnet for trusler. E-posten kommer til offerets innboks fordi Microsofts domene har et godt rykte.

Når offeret ringer nummeret, utgir angriperen seg som en kundeserviceagent og overtaler dem til å installere skadelig programvare eller utlevere personlig informasjon som påloggingsinformasjon.

En stigende tidevann av BEC-angrep

Dette angrepet fremhever det pågående spekteret av BEC-angrep, som har eskalert over tid. De siste (2024) dataene fra FBI rapportert 55.5 milliarder dollar i globale BEC-tap mellom 2013 og 2023 – opp fra nesten 51 milliarder dollar rapporterte året før.

Dette er heller ikke første gang at BEC og phishing-angrep har rettet seg mot Microsoft 365-brukere. I 2023, forskere bemerket den raske økningen i W3LL, et phishing-sett som spesifikt kompromitterte Microsoft 365-kontoer ved å omgå multifaktorautentisering.

Hva du kan gjøre

Den beste tilnærmingen til å redusere BEC-angrep er, som med de fleste andre nettsikkerhetsbeskyttelser, flerlags. Kriminelle kan bryte gjennom ett lag med beskyttelse, men det er mindre sannsynlig at de overvinner flere hindringer. Sikkerhets- og kontrollrammeverk, som ISO 27001 og NISTs Cybersecurity Framework, er gode kilder til tiltak for å unngå svindlere. Disse hjelper til med å identifisere sårbarheter, forbedre e-postsikkerhetsprotokoller og redusere eksponeringen for legitimasjonsbaserte angrep.

Teknologiske kontroller er ofte et nyttig våpen mot BEC-svindlere. Å bruke e-postsikkerhetskontroller som DMARC er tryggere enn ikke, men som Guardz påpeker, vil de ikke være effektive mot angrep med pålitelige domener.

Det samme gjelder innholdsfiltrering ved å bruke et av de mange tilgjengelige e-postsikkerhetsverktøyene. Selv om det ikke ville ha fanget opp den fordekte trusselinnbyggingsteknikken som ble brukt i angrepet som ble rapportert i mars, er det likevel et nyttig tiltak generelt. Avansert innholdsanalyse som ser på organisasjonsfelt og metadata er optimalt.

Tilsvarende er retningslinjer for betinget tilgang en verdifull måte å stoppe noen BEC-angrep, inkludert bruk av multifaktorautentisering (MFA). Denne beskyttelsen, som bruker en andre autentiseringsmekanisme utenfor båndet for å bekrefte brukerens identitet, er imidlertid ikke idiotsikker. Reverse proxy-angrep, der angriperen bruker en mellomserver for å hente inn et offers MFA-legitimasjon, er velkjente. Et slikt angrep skjedde i 2022, rettet mot 10,000 365 organisasjoner som brukte MXNUMX. Så bruk MFA, men ikke stol på det alene.

Få ansatte om bord

Mange angrep hindres ikke av tekniske kontroller, men av en årvåken ansatt som krever bekreftelse av en uvanlig forespørsel. Å spre beskyttelse på tvers av ulike aspekter av organisasjonen din er en god måte å minimere risiko gjennom ulike beskyttelsestiltak. Det gjør mennesker og organisatoriske kontroller nøkkelen når du bekjemper svindlere. Gjennomfør regelmessig opplæring for å gjenkjenne BEC-forsøk og verifisere uvanlige forespørsler.

Fra et organisatorisk perspektiv kan selskaper implementere retningslinjer som fremtvinger sikrere prosesser når de utfører den typen høyrisikoinstruksjoner – som store kontantoverføringer – som BEC-svindlere ofte retter seg mot. Separasjon av plikter – en spesifikk kontroll innenfor ISO 27001 – er en utmerket måte å redusere risiko på ved å sikre at det tar flere personer til å utføre en høyrisikoprosess.

Hastighet er avgjørende når du svarer på et angrep som gjør det gjennom disse forskjellige kontrollene. Derfor er det også en god idé å planlegge hendelsesresponsen før et BEC-angrep inntreffer. Lag spillebøker for mistenkte BEC-hendelser, inkludert koordinering med finansinstitusjoner og rettshåndhevelse, som tydelig beskriver hvem som er ansvarlig for hvilken del av responsen og hvordan de samhandler.

Kontinuerlig sikkerhetsovervåking – et grunnleggende prinsipp i ISO 27001 – er også avgjørende for e-postsikkerhet. Roller endres. Folk drar. Å holde et årvåkent øye med privilegier og se etter nye sårbarheter er avgjørende for å holde farer i sjakk.

BEC-svindlere investerer i å utvikle teknikkene sine fordi de er lønnsomme. Alt som trengs er en stor svindel for å rettferdiggjøre arbeidet de legger ned i å målrette nøkkelledere med økonomiske forespørsler. Det er det perfekte eksempelet på forsvarerens dilemma, der en angriper bare må lykkes én gang, mens en forsvarer må lykkes hver gang. Det er ikke oddsen vi ønsker, men å sette inn effektive kontroller bidrar til å balansere dem mer rettferdig.

Danny Bradbury

Danny Bradbury har vært trykt journalist med spesialisering i teknologi siden 1989 og frilansskribent siden 1994. Han har skrevet for nasjonale publikasjoner på begge sider av Atlanterhavet og har vunnet priser for sitt undersøkende arbeid med cybersikkerhetsjournalistikk.

Les mer fra Danny Bradbury

Cyber sikkerhet 5 februar 2026

hvorfor regulatorer og investorer forventer at selskaper skal ta opp en trippelrisikoblogg

Hvorfor regulatorer og investorer forventer at selskaper skal håndtere en trippel risiko

Organisasjoner bekymrer seg for sikkerhets- og personvernrisiko. Og i den senere tid har de lagt merke til risiko knyttet til kunstig intelligens. Men hvor ofte tenker de på alt ...

Danny Bradbury

Cyber sikkerhet 15 januar 2026