Търсене
Close this search box.

Екипът на Microsoft Security Intelligence наскоро разследва атака за компрометиране на бизнес имейл (BEC) и установи, че нападателите действат бързо, като някои стъпки отнемат само няколко минути.

Целият процес – от влизането в системата чрез компрометирани идентификационни данни до регистрирането на домейни с типоскрипция и превземането на имейл поток – е отнел на хакерите само няколко часа.

Този бърз ход на атаката гарантира, че целите ще имат минимална възможност да идентифицират признаците на измама и да предприемат превантивни мерки.

Проблем за няколко милиарда

BEC атаките са вид кибератака, при която нападателят получава достъп до имейл акаунт на целевата организация чрез фишинг, социално инженерство или купуване на идентификационни данни за акаунта в тъмната мрежа.

След това престъпникът се представя за доверено лице, например висш ръководител или доставчик, за да подмами служител, работещ във финансовия отдел, да одобри измамна заявка за банков превод.

По данни на ФБР от юни 2016 г. до юли 2019 г. атаките BEC са довели до загуби в размер на над 43 млрд. долара, като това се отнася само за случаите, докладвани на правоприлагащата агенция.

В тема в Twitter анализаторите на Microsoft обясняват, че наскоро разследвана BEC атака е започнала с това, че авторът на  заплахата е извършил фишинг атака „противник по средата“ (AiTM), за да открадне сесийната бисквитка на целта, заобикаляйки защитата MFA.

Атакуващият е влязъл в акаунта на жертвата на 5 януари 2023 г. и е прекарал два часа в търсене на добри имейл нишки, които да похити.

Отвличането на нишки е много ефективна техника, благодарение на която изглежда, че измамното съобщение е продължение на съществуващ обмен на съобщения, така че получателите са много по-склонни да му се доверят.

След това нападателят е регистрирал измамни домейни, като е използвал хомоглифни знаци, за да изглеждат почти идентични със сайтовете на целевата организация и на подставения партньор.

Пет минути по-късно атакуващият създал правило за входяща поща, за да изсмуква имейли от партньорската организация в определена папка.

В следващата минута нападателят изпратил злонамерен имейл до бизнес партньор с искане за промяна на инструкциите за банков превод и незабавно изтрил изпратеното съобщение, за да намали вероятността компрометираният потребител да открие нарушението.

От първото влизане в системата до изтриването на изпратеното електронно писмо са изминали общо 127 минути, което отразява високата скорост на действие на нападателя.

Microsoft 365 Defender генерира предупреждение за финансова измама с BEC 20 минути след като извършителят  е изтрил изпратения имейл и автоматично е прекъснал атаката, като е деактивирал профила на потребителя.

„При нашето тестване и оценка на откриването и действията на BEC в клиентски среди, изправени пред реални сценарии на атаки, десетки организации бяха по-добре защитени, когато акаунтите бяха автоматично деактивирани от Microsoft 365 Defender“, твърди Microsoft.

„Новите възможности за автоматично прекъсване оставят на екипа SOC пълен контрол, за да разследва всички действия, предприети от Microsoft 365 Defender, и при необходимост да лекува всички останали, засегнати активи.“

Microsoft твърди, че нейният продукт за сигурност е прекъснал 38 BEC атаки, насочени към 27 организации, като е използвал сигнали с висока степен на достоверност за eXtended Detection and Response (XDR) в крайни точки, идентичности, електронна поща и SaaS приложения.

Диаграма: Microsoft

Източник: По материали от Интернет

Подобни публикации

18 септември 2024

D-Link обяви кръпки за множество уязвимости с к...

Тайванският производител на мрежов хардуер D-Link обяви в понеделни...
18 септември 2024

Tenable сподели подробности за метод за атака ч...

Tenable сподели подробности за метод за атака чрез объркване на зав...
18 септември 2024

Element Security излиза на сцената с решение CT...

Израелският стартъп Element Security наскоро излезе от скрит режим ...
18 септември 2024

BlackCloak набира 17 милиона долара за защита н...

Фирмата за киберсигурност и защита на личните данни BlackCloak обяв...
18 септември 2024

Китаец е използвал спиър фишинг, за да получи с...

В понеделник САЩ обявиха обвинения срещу китайски гражданин, за ког...
17 септември 2024

Скорошните уязвимости на WhatsUp Gold са използ...

Две критични уязвимости, поправени наскоро в продукта WhatsUp Gold ...
17 септември 2024

Тактики за скриване под радара на киберпрестъпн...

Киберсигурността е игра на котка и мишка, в която нападатели и защи...
17 септември 2024

Група за рансъмуер публикува данни, за които се...

Групата за рансъмуер RansomHub е публикувала 487 гигабайта данни, з...
Бъдете социални
Още по темата
17/09/2024

Тактики за скриване под рад...

Киберсигурността е игра на котка и...
17/09/2024

EasyDMARC получава 20 млн. ...

EasyDMARC, арменски стартъп, който намира приложение...
15/09/2024

Microsoft и Quantinuum комб...

Технологичният гигант Microsoft и водещият разработчик...
Последно добавени
18/09/2024

D-Link обяви кръпки за множ...

Тайванският производител на мрежов хардуер D-Link...
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
18/09/2024

Element Security излиза на ...

Израелският стартъп Element Security наскоро излезе...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!