Microsoft’un Güvenlik İstihbarat Ekibi yakın zamanda bir işletme e -posta uzlaşması (BEC) saldırısını araştırdı ve saldırganların hızla hareket ettiğini ve bazı adımların sadece birkaç dakika sürdüğünü buldu.
Tüm süreç, tehlikeye atılan kimlik bilgilerini kullanma konusunda imzalamaktan, yazım hattı alan adlarını kaydetmeye ve bir e -posta iş parçacığının kaçırılmasına kadar, tehdit aktörlerini sadece birkaç saat aldı.
Bu hızlı saldırı ilerlemesi, hedeflerin sahtekarlık belirtilerini belirleme ve önleyici önlemler alma fırsatına sahip olmasını sağlar.
BEC saldırıları, saldırganın kimlik avı, sosyal mühendislik veya karanlık web'de hesap kimlik bilgileri satın alarak hedef kuruluşun bir e -posta hesabına eriştiği bir tür siber saldırı türüdür.
Saldırgan daha sonra, finans departmanında çalışan bir çalışanı hileli bir tel transfer talebini onaylamak için kandırmak için üst düzey bir yönetici veya tedarikçi gibi güvenilir bir kişiyi taklit eder.
FBI verilerine göre, Haziran 2016'dan Temmuz 2019'a kadar, BEC saldırıları 43 milyar doların üzerinde kayıplarla sonuçlandı ve bu sadece kolluk kuvvetlerine bildirilen davalarla ilgili.
Bir Twitter iş parçacığında, Microsoft’un analistleri, yakın zamanda araştırılan bir BEC saldırısının, MFA korumasını atlayarak hedefin oturum çerezini çalmak için “ortada düşman” (AITM) kimlik avı saldırısı gerçekleştiren tehdit oyuncusu ile başladığını açıklıyor.
Saldırgan, 5 Ocak 2023'te kurbanın hesabına giriş yaptı ve posta kutusunu iyi e -posta iş parçacıklarının kaçması için aramak için iki saat geçirdi.
İplik kaçırma, hileli mesajın mevcut bir iletişim değişiminin devamı olduğunu gösteren çok etkili bir tekniktir, bu nedenle alıcıların buna güvenme olasılığı daha yüksektir.
Bundan sonra, saldırgan, hedef organizasyonun ve taklit edilen ortağın sitelerine neredeyse aynı görünmelerini sağlamak için homoglif karakterler kullanarak aldatıcı alanlar kaydetti.
Beş dakika sonra saldırgan, ortak kuruluştan e -postaları belirli bir klasöre sifonlamak için bir gelen kutusu kuralı oluşturdu.
Sonraki dakikada, saldırgan kötü niyetli e -postayı iş ortağına bir banka havalesi talimatı değişikliği isteyen bir şekilde gönderdi ve ödün verilen kullanıcının ihlali keşfetme olasılığını azaltmak için gönderilen mesajı derhal sildi.
İlk oturum açmasından gönderilen e-postanın silinmesine kadar, saldırganın tarafından bir acele yansıtan toplam 127 dakika geçti.
Microsoft 365 Defender, tehdit oyuncusu gönderilen e -postayı sildikten ve kullanıcının hesabını devre dışı bırakarak saldırıyı otomatik olarak bozmasından 20 dakika sonra BEC Financial Dolandırıcılığı hakkında bir uyarı sağladı.
Microsoft, “Gerçek dünyadaki saldırı senaryolarıyla karşılaşılan müşteri ortamlarında BEC tespitleri ve eylemlerinin test ve değerlendirilmesinde, hesaplar Microsoft 365 Defender tarafından otomatik olarak devre dışı bırakıldığında düzinelerce kuruluş daha iyi korundu” diyor.
“Yeni otomatik bozulma yetenekleri, Microsoft 365 Defender tarafından alınan tüm eylemleri araştırmak için SOC ekibini tam kontrol altında bırakıyor ve gerektiğinde kalan, etkilenen varlıkları iyileştiriyor.”
Microsoft, güvenlik ürününün, uç noktalar, kimlikler, e-posta ve SaaS uygulamalarında yüksek güvenilir genişletilmiş algılama ve yanıt (XDR) sinyalleri kullanan 27 kuruluşu hedefleyen 38 BEC saldırısını bozduğunu söyledi.
Europol büstleri birkaç gün içinde 38 milyon € çalan 'CEO sahtekarlığı' çetesi
Xenomorph Android kötü amaçlı yazılım artık 400 bankadan veri çalıyor
Silverterrier Bec dolandırıcıları ABD Govt Sağlık Ajanslarını Hedefce
50.000 şirketten ödün verdikten sonra TMT BEC Scamers tutuklandı
Chick-Fil-A, aylarca süren "otomatik" saldırıda hacklenen hesapları onaylar
Kaynak: Bleeping Computer