Business e-post-kompromiss (BEC) er en enorm og lønnsom svindel, men Microsoft har satt en stopper i en operasjon ved å ta ned skyinfrastrukturen.
For å motvirke disse svindlerne, har Microsoft vervet sin Digital Crimes Unit for å takle infrastrukturen de bruker. Akkurat som andre virksomheter, har BEC-svindlere flyttet til skyen for å kjøre operasjoner, men Microsoft hevder at etterforskerne har forstyrret en stor BEC-gruppe som brukte store skyleverandører.
Mens ransomware fanger overskrifter, forblir BEC det eneste dyreste nettkriminalitetsproblemet for amerikansk virksomhet. FBI rapporterte nylig at amerikanere tapte over 4,2 milliarder dollar til cyberkriminelle og svindlere i 2020. BEC var den klart største årsaken til rapporterte tap, til sammen 1,8 milliarder dollar på tvers av 19 369 klager.
SE: Nettverkspolicy (TechRepublic Premium)
I dette tilfellet svindlerne brukte skybasert infrastruktur for å kompromittere e-postkontoer gjennom phishing, og la deretter til regler for videresending av e-post til disse kontoene, noe som ga angriperne tilgang til e-post om økonomiske transaksjoner.
Angriperne brukte også flere teknikker for å hindre etterforskernes innsats for å avdekke deres aktiviteter og infrastruktur.
“Bruken av angriperinfrastruktur som er vert i flere webtjenester gjorde det mulig for angriperne å operere skjult, karakteristisk for BEC-kampanjer. Angriperne utførte diskrete aktiviteter for forskjellige IP-er og tidsrammer, noe som gjorde det vanskeligere for forskere å korrelere tilsynelatende forskjellige aktiviteter som en enkelt operasjon, ”forklarer sikkerhetsforskere fra Microsoft.
Microsoft bemerker at BEC-angrep er vanskelig å oppdage fordi de vanligvis ikke dukker opp på en forsvars varslingsliste og i stedet smelter sammen med legitim nettverkstrafikk.
Microsoft fremmer sin evne til å oppdage BEC-forbrytelser på grunn av sin gigantiske skyvirksomhet på tvers av Azure og Microsoft 365, noe som gir den innsyn i e-posttrafikk, identiteter, sluttpunkter og sky.
“Bevæpnet med etterretning om phishing-e-post, ondsinnet oppførsel på endepunkter, aktiviteter i skyen og kompromitterte identiteter, koblet Microsoft-forskere prikkene, fikk et syn på end-to-end angrepskjeden og spores aktiviteter tilbake til infrastrukturen,” Sa Microsoft.
Microsoft korrelerte den målrettede BEC-kampanjen til et tidligere phishing-angrep, som ga angriperne legitimasjon og tilgang til ofrenes Office 365-postkasser. Den bemerker at aktivering av flerfaktorautentisering kan forhindre disse phishing-angrepene.
Forskerne fant at før angriperne opprettet regler for videresending av e-post, mottok e-postkontoer en phishing-e-post med en talemelding og et HTML-vedlegg. E-postene kom fra en ekstern skyleverandørs adresseplass.
Phishing-kampanjen lurte brukere ved å opprette en falsk, men realistisk Microsoft-påloggingsside med brukernavnet allerede befolket, og brukte et JavaScript-skript for å fange og videresende de stjålne passordene.
Videresendingsreglene var ganske enkle. I utgangspunktet, hvis e-postteksten inneholdt ordene “faktura”, “betaling” eller “uttalelse”, var de kompromitterte kontoene konfigurert til å videresende e-postene til angriperens e-postadresse.
SE: Denne nye løsepengegruppen hevder å ha brutt over 30 organisasjoner så langt
Mens angriperne brukte annen skyinfrastruktur for å skjule aktivitetene sine, fant Microsoft noen vanlige elementer i brukeragentene, for eksempel at videresendingsreglene ble opprettet med Chrome 79, og at de brukte regler for ikke å utløse et MFA-varsel når de logget på en Microsoft-konto .
“Legitimasjon sjekker med brukeragenten” BAV2ROPC “, som sannsynligvis er en kodebase som bruker eldre protokoller som IMAP/POP3, mot Exchange Online. Dette resulterer i en ROPC OAuth-strøm, som returnerer et” ugyldig_tilskudd “i tilfelle MFA er aktivert, så ingen MFA-varsling blir sendt, “bemerker Microsoft.
Da forskningen avdekket at angripere misbrukte skytjenesteleverandører for å utføre denne kampanjen, rapporterte Microsoft sine funn til skysikkerhetsteamene for disse leverandørene, som suspenderte de fornærmende kontoene, noe som resulterte i fjerning av infrastrukturen.
Sikkerhet
De beste nettleserne for personvern: Bla sikkert på det store dårlige internett Cybersikkerhet 101: Beskytt personvernet ditt mot hackere, spioner og myndighetene De beste antivirusprogramvarene og appene De beste VPN-ene for bedrifter og hjem bruk De beste sikkerhetsnøklene for tofaktorautentisering Ransomware: Gjør disse tre tingene for å beskytte nettverket ditt mot angrep (ZDNet YouTube)
Relaterte emner:
Security TV Data Management CXO Data Centers 