Екипът на Microsoft Security Intelligence наскоро разследва атака за компрометиране на бизнес имейл (BEC) и установи, че нападателите действат бързо, като някои стъпки отнемат само няколко минути.

Целият процес – от влизането в системата чрез компрометирани идентификационни данни до регистрирането на домейни с типоскрипция и превземането на имейл поток – е отнел на хакерите само няколко часа.

Този бърз ход на атаката гарантира, че целите ще имат минимална възможност да идентифицират признаците на измама и да предприемат превантивни мерки.

Проблем за няколко милиарда

BEC атаките са вид кибератака, при която нападателят получава достъп до имейл акаунт на целевата организация чрез фишинг, социално инженерство или купуване на идентификационни данни за акаунта в тъмната мрежа.

След това престъпникът се представя за доверено лице, например висш ръководител или доставчик, за да подмами служител, работещ във финансовия отдел, да одобри измамна заявка за банков превод.

По данни на ФБР от юни 2016 г. до юли 2019 г. атаките BEC са довели до загуби в размер на над 43 млрд. долара, като това се отнася само за случаите, докладвани на правоприлагащата агенция.

В тема в Twitter анализаторите на Microsoft обясняват, че наскоро разследвана BEC атака е започнала с това, че авторът на  заплахата е извършил фишинг атака „противник по средата“ (AiTM), за да открадне сесийната бисквитка на целта, заобикаляйки защитата MFA.

Атакуващият е влязъл в акаунта на жертвата на 5 януари 2023 г. и е прекарал два часа в търсене на добри имейл нишки, които да похити.

Отвличането на нишки е много ефективна техника, благодарение на която изглежда, че измамното съобщение е продължение на съществуващ обмен на съобщения, така че получателите са много по-склонни да му се доверят.

След това нападателят е регистрирал измамни домейни, като е използвал хомоглифни знаци, за да изглеждат почти идентични със сайтовете на целевата организация и на подставения партньор.

Пет минути по-късно атакуващият създал правило за входяща поща, за да изсмуква имейли от партньорската организация в определена папка.

В следващата минута нападателят изпратил злонамерен имейл до бизнес партньор с искане за промяна на инструкциите за банков превод и незабавно изтрил изпратеното съобщение, за да намали вероятността компрометираният потребител да открие нарушението.

От първото влизане в системата до изтриването на изпратеното електронно писмо са изминали общо 127 минути, което отразява високата скорост на действие на нападателя.

Microsoft 365 Defender генерира предупреждение за финансова измама с BEC 20 минути след като извършителят  е изтрил изпратения имейл и автоматично е прекъснал атаката, като е деактивирал профила на потребителя.

„При нашето тестване и оценка на откриването и действията на BEC в клиентски среди, изправени пред реални сценарии на атаки, десетки организации бяха по-добре защитени, когато акаунтите бяха автоматично деактивирани от Microsoft 365 Defender“, твърди Microsoft.

„Новите възможности за автоматично прекъсване оставят на екипа SOC пълен контрол, за да разследва всички действия, предприети от Microsoft 365 Defender, и при необходимост да лекува всички останали, засегнати активи.“

Microsoft твърди, че нейният продукт за сигурност е прекъснал 38 BEC атаки, насочени към 27 организации, като е използвал сигнали с висока степен на достоверност за eXtended Detection and Response (XDR) в крайни точки, идентичности, електронна поща и SaaS приложения.

Диаграма: Microsoft

Източник: По материали от Интернет

Подобни публикации

22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
22 януари 2025

13 000 рутера MikroTik от цял свят са превзети ...

Глобална мрежа от около 13 000 отвлечени маршрутизатора Mikrotik е ...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
21/01/2025

Злоупотреба с услугите на M...

Наблюдавани са две отделни заплахи, които...
17/01/2025

Руски кибершпиони са хванат...

Изследователи на Microsoft са разкрили, че...
Последно добавени
22/01/2025

Продуктите за сграден контр...

Изследовател твърди, че е открил над...
22/01/2025

Над 380 000 долара са изпла...

Инициативата Zero Day Initiative (ZDI) на...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!