Екипът на Microsoft Security Intelligence наскоро разследва атака за компрометиране на бизнес имейл (BEC) и установи, че нападателите действат бързо, като някои стъпки отнемат само няколко минути.
Целият процес – от влизането в системата чрез компрометирани идентификационни данни до регистрирането на домейни с типоскрипция и превземането на имейл поток – е отнел на хакерите само няколко часа.
Този бърз ход на атаката гарантира, че целите ще имат минимална възможност да идентифицират признаците на измама и да предприемат превантивни мерки.
BEC атаките са вид кибератака, при която нападателят получава достъп до имейл акаунт на целевата организация чрез фишинг, социално инженерство или купуване на идентификационни данни за акаунта в тъмната мрежа.
След това престъпникът се представя за доверено лице, например висш ръководител или доставчик, за да подмами служител, работещ във финансовия отдел, да одобри измамна заявка за банков превод.
По данни на ФБР от юни 2016 г. до юли 2019 г. атаките BEC са довели до загуби в размер на над 43 млрд. долара, като това се отнася само за случаите, докладвани на правоприлагащата агенция.
В тема в Twitter анализаторите на Microsoft обясняват, че наскоро разследвана BEC атака е започнала с това, че авторът на заплахата е извършил фишинг атака „противник по средата“ (AiTM), за да открадне сесийната бисквитка на целта, заобикаляйки защитата MFA.
Атакуващият е влязъл в акаунта на жертвата на 5 януари 2023 г. и е прекарал два часа в търсене на добри имейл нишки, които да похити.
Отвличането на нишки е много ефективна техника, благодарение на която изглежда, че измамното съобщение е продължение на съществуващ обмен на съобщения, така че получателите са много по-склонни да му се доверят.
След това нападателят е регистрирал измамни домейни, като е използвал хомоглифни знаци, за да изглеждат почти идентични със сайтовете на целевата организация и на подставения партньор.
Пет минути по-късно атакуващият създал правило за входяща поща, за да изсмуква имейли от партньорската организация в определена папка.
В следващата минута нападателят изпратил злонамерен имейл до бизнес партньор с искане за промяна на инструкциите за банков превод и незабавно изтрил изпратеното съобщение, за да намали вероятността компрометираният потребител да открие нарушението.
От първото влизане в системата до изтриването на изпратеното електронно писмо са изминали общо 127 минути, което отразява високата скорост на действие на нападателя.
Microsoft 365 Defender генерира предупреждение за финансова измама с BEC 20 минути след като извършителят е изтрил изпратения имейл и автоматично е прекъснал атаката, като е деактивирал профила на потребителя.
„При нашето тестване и оценка на откриването и действията на BEC в клиентски среди, изправени пред реални сценарии на атаки, десетки организации бяха по-добре защитени, когато акаунтите бяха автоматично деактивирани от Microsoft 365 Defender“, твърди Microsoft.
„Новите възможности за автоматично прекъсване оставят на екипа SOC пълен контрол, за да разследва всички действия, предприети от Microsoft 365 Defender, и при необходимост да лекува всички останали, засегнати активи.“
Microsoft твърди, че нейният продукт за сигурност е прекъснал 38 BEC атаки, насочени към 27 организации, като е използвал сигнали с висока степен на достоверност за eXtended Detection and Response (XDR) в крайни точки, идентичности, електронна поща и SaaS приложения.
Диаграма: Microsoft
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.