Business E-Mail Compromise (BEC) ist ein riesiger und profitabler Betrug, aber Microsoft hat einen Vorgang durch die Deaktivierung seiner Cloud-Infrastruktur einen Strich durch die Rechnung gemacht.
Um diesen Betrügern entgegenzuwirken, hat Microsoft seine Digital Crimes Unit beauftragt, die von ihnen verwendete Infrastruktur zu bekämpfen. Genau wie andere Unternehmen sind auch BEC-Betrüger in die Cloud umgezogen, um den Betrieb zu betreiben, aber Microsoft behauptet, seine Ermittler hätten eine große BEC-Gruppe gestört, die große Cloud-Anbieter nutzte.
Während Ransomware Schlagzeilen macht, bleibt BEC das teuerste Problem der Cyberkriminalität für amerikanische Unternehmen. Das FBI berichtete kürzlich, dass die Amerikaner im Jahr 2020 über 4,2 Milliarden US-Dollar an Cyberkriminelle und Betrüger verloren haben. BEC war bei weitem die größte Ursache für gemeldete Verluste mit insgesamt 1,8 Milliarden US-Dollar bei 19.369 Beschwerden.
SIEHE: Netzwerksicherheitsrichtlinie (TechRepublic Premium)
In diesem Fall die Betrüger nutzte eine Cloud-basierte Infrastruktur, um E-Mail-Konten durch Phishing zu kompromittieren, und fügte dann E-Mail-Weiterleitungsregeln zu diesen Konten hinzu, um den Angreifern Zugriff auf E-Mails zu Finanztransaktionen zu geben.
Die Angreifer setzten auch verschiedene Techniken ein, um die Bemühungen der Ermittler zu vereiteln, ihre Aktivitäten und Infrastruktur aufzudecken.
“Die Verwendung einer Angreiferinfrastruktur, die in mehreren Webdiensten gehostet wird, ermöglichte es den Angreifern, heimlich zu agieren, was für BEC-Kampagnen charakteristisch ist. Die Angreifer führten diskrete Aktivitäten für verschiedene IPs und Zeitrahmen durch, was es für Forscher schwieriger machte, scheinbar unterschiedliche zu korrelieren Aktivitäten als einen einzigen Vorgang”, erklären Microsoft-Sicherheitsforscher.
Microsoft weist darauf hin, dass BEC-Angriffe schwer zu erkennen sind, da sie im Allgemeinen nicht auf der Warnliste eines Verteidigers auftauchen und stattdessen mit legitimem Netzwerkverkehr verschmelzen.
Microsoft fördert seine Fähigkeit, BEC-Verbrechen aufgrund seines gigantischen Cloud-Geschäfts in Azure und Microsoft 365 zu erkennen, das ihm Einblick in E-Mail-Verkehr, Identitäten, Endpunkte und Cloud bietet.
„Ausgestattet mit Informationen zu Phishing-E-Mails, bösartigem Verhalten auf Endpunkten, Aktivitäten in der Cloud und kompromittierten Identitäten verbanden Microsoft-Forscher die Punkte, erhielten einen Überblick über die End-to-End-Angriffskette und verfolgten Aktivitäten bis zur Infrastruktur zurück.“ Microsoft sagte.
Microsoft korrelierte die gezielte BEC-Kampagne mit einem früheren Phishing-Angriff, der den Angreifern Anmeldeinformationen und Zugriff auf die Office 365-Postfächer der Opfer verschaffte. Es wird darauf hingewiesen, dass die Aktivierung der Multi-Faktor-Authentifizierung diese Phishing-Angriffe verhindern kann.
Die Forscher fanden heraus, dass die E-Mail-Konten, bevor die Angreifer E-Mail-Weiterleitungsregeln erstellten, eine Phishing-E-Mail mit einem Sprachnachrichtenköder und einem HTML-Anhang erhielten. Die E-Mails kamen aus dem Adressraum eines externen Cloud-Anbieters.
Die Phishing-Kampagne täuschte Benutzer, indem sie eine falsche, aber realistisch aussehende Microsoft-Anmeldeseite mit dem bereits ausgefüllten Benutzernamen erstellte und ein JavaScript-Skript verwendete, um die gestohlenen Passwörter zu erfassen und weiterzuleiten.
Die Weiterleitungsregeln waren ziemlich einfach. Wenn der Text der E-Mail die Wörter “Rechnung”, “Zahlung” oder “Auszug” enthielt, wurden die kompromittierten Konten grundsätzlich so konfiguriert, dass die E-Mails an die E-Mail-Adresse des Angreifers weitergeleitet wurden.
SEE: Diese neue Ransomware-Gruppe behauptet, bis jetzt über 30 Organisationen verletzt zu haben
Während die Angreifer unterschiedliche Cloud-Infrastrukturen nutzten, um ihre Aktivitäten zu verbergen, fand Microsoft einige gemeinsame Elemente in den Benutzeragenten, wie zum Beispiel, dass die Weiterleitungsregeln mit Chrome 79 erstellt wurden und Regeln verwendet wurden, um bei der Anmeldung bei einem Microsoft-Konto keine MFA-Benachrichtigung auszulösen .
“Anmeldedaten werden mit dem User-Agent “BAV2ROPC” geprüft, bei dem es sich wahrscheinlich um eine Codebasis mit Legacy-Protokollen wie IMAP/POP3 gegen Exchange Online handelt. Dies führt zu einem ROPC-OAuth-Flow, der ein “invalid_grant” zurückgibt. Falls MFA aktiviert ist, wird keine MFA-Benachrichtigung gesendet”, stellt Microsoft fest.
Als seine Untersuchung ergab, dass Angreifer Cloud-Dienstanbieter missbraucht haben, um diese Kampagne durchzuführen, hat Microsoft die Ergebnisse an die Cloud-Sicherheitsteams dieser Anbieter gemeldet, die die beleidigenden Konten sperrten, was zur Deaktivierung der Infrastruktur führte.
Sicherheit
Die besten Browser für die Privatsphäre: Sicher surfen im großen, schlechten Internet Cyber-Sicherheit 101: Schützen Sie Ihre Privatsphäre vor Hackern, Spionen und der Regierung Die besten Antiviren-Software und -Apps Die besten VPNs für Unternehmen und zu Hause Verwenden Sie die besten Sicherheitsschlüssel für die Zwei-Faktor-Authentifizierung Ransomware: Führen Sie diese drei Schritte aus, um Ihr Netzwerk vor Angriffen zu schützen (ZDNet YouTube)
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 