Екипът на Microsoft Security Intelligence наскоро разследва атака за компрометиране на бизнес имейл (BEC) и установи, че нападателите действат бързо, като някои стъпки отнемат само няколко минути.

Целият процес – от влизането в системата чрез компрометирани идентификационни данни до регистрирането на домейни с типоскрипция и превземането на имейл поток – е отнел на хакерите само няколко часа.

Този бърз ход на атаката гарантира, че целите ще имат минимална възможност да идентифицират признаците на измама и да предприемат превантивни мерки.

Проблем за няколко милиарда

BEC атаките са вид кибератака, при която нападателят получава достъп до имейл акаунт на целевата организация чрез фишинг, социално инженерство или купуване на идентификационни данни за акаунта в тъмната мрежа.

След това престъпникът се представя за доверено лице, например висш ръководител или доставчик, за да подмами служител, работещ във финансовия отдел, да одобри измамна заявка за банков превод.

По данни на ФБР от юни 2016 г. до юли 2019 г. атаките BEC са довели до загуби в размер на над 43 млрд. долара, като това се отнася само за случаите, докладвани на правоприлагащата агенция.

В тема в Twitter анализаторите на Microsoft обясняват, че наскоро разследвана BEC атака е започнала с това, че авторът на  заплахата е извършил фишинг атака „противник по средата“ (AiTM), за да открадне сесийната бисквитка на целта, заобикаляйки защитата MFA.

Атакуващият е влязъл в акаунта на жертвата на 5 януари 2023 г. и е прекарал два часа в търсене на добри имейл нишки, които да похити.

Отвличането на нишки е много ефективна техника, благодарение на която изглежда, че измамното съобщение е продължение на съществуващ обмен на съобщения, така че получателите са много по-склонни да му се доверят.

След това нападателят е регистрирал измамни домейни, като е използвал хомоглифни знаци, за да изглеждат почти идентични със сайтовете на целевата организация и на подставения партньор.

Пет минути по-късно атакуващият създал правило за входяща поща, за да изсмуква имейли от партньорската организация в определена папка.

В следващата минута нападателят изпратил злонамерен имейл до бизнес партньор с искане за промяна на инструкциите за банков превод и незабавно изтрил изпратеното съобщение, за да намали вероятността компрометираният потребител да открие нарушението.

От първото влизане в системата до изтриването на изпратеното електронно писмо са изминали общо 127 минути, което отразява високата скорост на действие на нападателя.

Microsoft 365 Defender генерира предупреждение за финансова измама с BEC 20 минути след като извършителят  е изтрил изпратения имейл и автоматично е прекъснал атаката, като е деактивирал профила на потребителя.

„При нашето тестване и оценка на откриването и действията на BEC в клиентски среди, изправени пред реални сценарии на атаки, десетки организации бяха по-добре защитени, когато акаунтите бяха автоматично деактивирани от Microsoft 365 Defender“, твърди Microsoft.

„Новите възможности за автоматично прекъсване оставят на екипа SOC пълен контрол, за да разследва всички действия, предприети от Microsoft 365 Defender, и при необходимост да лекува всички останали, засегнати активи.“

Microsoft твърди, че нейният продукт за сигурност е прекъснал 38 BEC атаки, насочени към 27 организации, като е използвал сигнали с висока степен на достоверност за eXtended Detection and Response (XDR) в крайни точки, идентичности, електронна поща и SaaS приложения.

Диаграма: Microsoft

Източник: По материали от Интернет

Подобни публикации

23 април 2025

Азиатски престъпни мрежи разширяват дейността с...

Престъпни синдикати от Източна и Югоизточна Азия пренасят доходонос...
22 април 2025

3дравни организации станаха жертва на мащабни п...

Две здравни организации в САЩ потвърдиха, че са станали обект на се...
22 април 2025

Културата – почвата на киберсигурността, а не о...

Когато става въпрос за киберсигурност, хората често си представят с...
22 април 2025

Microsoft извършва най-мащабната реформа в кибе...

Microsoft обяви, че е завършила „най-големия проект за инжене...
22 април 2025

Севернокорейски хакери използват Zoom за кражба...

Севернокорейски киберпрестъпници са усъвършенствали тактиките си за...
22 април 2025

Exaforce с амбиция да преосмисли SOC: 75 милион...

Сан Франсиско се превръща във все по-важен хъб за иновации в киберс...
21 април 2025

Kenzo Security: Иновативна платформа за киберси...

Стартъпът Kenzo Security обяви излизането си от скрит режим, съобща...
21 април 2025

Нарастващата заплаха от злонамерени ботове с ИИ

Интернет вече не е предимно човешко пространство. През 2024 г. авто...
Бъдете социални
Още по темата
22/04/2025

Microsoft извършва най-маща...

Microsoft обяви, че е завършила „най-големия проект...
21/04/2025

Кибератака прекъсва учебния...

Киберинцидент с широк обхват засегна няколко...
18/04/2025

Глобална компания за събити...

Legends International, водещ доставчик на услуги...
Последно добавени
23/04/2025

Азиатски престъпни мрежи ра...

Престъпни синдикати от Източна и Югоизточна...
22/04/2025

3дравни организации станаха...

Две здравни организации в САЩ потвърдиха,...
22/04/2025

Културата – почвата на кибе...

Когато става въпрос за киберсигурност, хората...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!