Microsoft: Бизнес имейли могат да бъдат хакнати за броени часове

Екипът на Microsoft Security Intelligence наскоро разследва атака за компрометиране на бизнес имейл (BEC) и установи, че нападателите действат бързо, като някои стъпки отнемат само няколко минути.

Целият процес – от влизането в системата чрез компрометирани идентификационни данни до регистрирането на домейни с типоскрипция и превземането на имейл поток – е отнел на хакерите само няколко часа.

Този бърз ход на атаката гарантира, че целите ще имат минимална възможност да идентифицират признаците на измама и да предприемат превантивни мерки.

Проблем за няколко милиарда

BEC атаките са вид кибератака, при която нападателят получава достъп до имейл акаунт на целевата организация чрез фишинг, социално инженерство или купуване на идентификационни данни за акаунта в тъмната мрежа.

След това престъпникът се представя за доверено лице, например висш ръководител или доставчик, за да подмами служител, работещ във финансовия отдел, да одобри измамна заявка за банков превод.

По данни на ФБР от юни 2016 г. до юли 2019 г. атаките BEC са довели до загуби в размер на над 43 млрд. долара, като това се отнася само за случаите, докладвани на правоприлагащата агенция.

В тема в Twitter анализаторите на Microsoft обясняват, че наскоро разследвана BEC атака е започнала с това, че авторът на  заплахата е извършил фишинг атака „противник по средата“ (AiTM), за да открадне сесийната бисквитка на целта, заобикаляйки защитата MFA.

Атакуващият е влязъл в акаунта на жертвата на 5 януари 2023 г. и е прекарал два часа в търсене на добри имейл нишки, които да похити.

Отвличането на нишки е много ефективна техника, благодарение на която изглежда, че измамното съобщение е продължение на съществуващ обмен на съобщения, така че получателите са много по-склонни да му се доверят.

След това нападателят е регистрирал измамни домейни, като е използвал хомоглифни знаци, за да изглеждат почти идентични със сайтовете на целевата организация и на подставения партньор.

Пет минути по-късно атакуващият създал правило за входяща поща, за да изсмуква имейли от партньорската организация в определена папка.

В следващата минута нападателят изпратил злонамерен имейл до бизнес партньор с искане за промяна на инструкциите за банков превод и незабавно изтрил изпратеното съобщение, за да намали вероятността компрометираният потребител да открие нарушението.

От първото влизане в системата до изтриването на изпратеното електронно писмо са изминали общо 127 минути, което отразява високата скорост на действие на нападателя.

Microsoft 365 Defender генерира предупреждение за финансова измама с BEC 20 минути след като извършителят  е изтрил изпратения имейл и автоматично е прекъснал атаката, като е деактивирал профила на потребителя.

„При нашето тестване и оценка на откриването и действията на BEC в клиентски среди, изправени пред реални сценарии на атаки, десетки организации бяха по-добре защитени, когато акаунтите бяха автоматично деактивирани от Microsoft 365 Defender“, твърди Microsoft.

„Новите възможности за автоматично прекъсване оставят на екипа SOC пълен контрол, за да разследва всички действия, предприети от Microsoft 365 Defender, и при необходимост да лекува всички останали, засегнати активи.“

Microsoft твърди, че нейният продукт за сигурност е прекъснал 38 BEC атаки, насочени към 27 организации, като е използвал сигнали с висока степен на достоверност за eXtended Detection and Response (XDR) в крайни точки, идентичности, електронна поща и SaaS приложения.

Диаграма: Microsoft

Източник: По материали от Интернет

Подобни публикации

20 март 2023

Хакерите са се насочвали предимно към уязвимост...

Хакерите продължават да се насочват към уязвимостите от типа „...
20 март 2023

Препоръки на CISA за домашните мрежи - част1

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА За да се предотв...
20 март 2023

Windows 11 ще иска разрешение, преди да закача ...

Microsoft съобщава, че ще предостави на разработчиците нов API, кой...
19 март 2023

Winter Vivern е насочена към индийски, източное...

АРТ групата, известна като Winter Vivern, е свързана с кампании, на...
18 март 2023

Измерване на ефективността на SOC

Компаниите трябва да измерват ефективността във всички области на д...
17 март 2023

(ISC)² с програма за 1 000 000 безплатни курсов...

Искате да видите  себе си в киберсигурността? Не ви е необходим опи...
Бъдете социални
Още по темата
20/03/2023

Windows 11 ще иска разрешен...

Microsoft съобщава, че ще предостави на...
19/03/2023

Winter Vivern е насочена къ...

АРТ групата, известна като Winter Vivern,...
17/03/2023

Поддръжката на Microsoft кр...

При неочакван обрат инженер по поддръжката...
Последно добавени
20/03/2023

Хакерите са се насочвали пр...

Хакерите продължават да се насочват към...
20/03/2023

Препоръки на CISA за домашн...

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА...
20/03/2023

Windows 11 ще иска разрешен...

Microsoft съобщава, че ще предостави на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!