Учетные записи Microsoft 365 стали мишенью для новых мошеннических действий по электронной почте

Учетные записи Microsoft 365 стали мишенью для новых мошеннических действий по электронной почте

25 августа 2022 г.

Эксперты по кибербезопасности предупреждают о новой широко распространенной кампании компрометации корпоративной электронной почты (BEC), целью которой является перенаправление крупных денежных транзакций на банковские счета, принадлежащие злоумышленникам.

Идея проста в теории: злоумышленники сначала скомпрометируют бизнес электронной почты с помощью фишинга. Затем они попадают в папку «Входящие» и прячутся там, отслеживая различные цепочки и потоки электронной почты, пока не найдут ту, в которой планируется банковский перевод. Затем, когда планирование завершено, и непосредственно перед тем, как жертва отправит средства, злоумышленник ответит на цепочку электронных писем с просьбой отправить средства в другое место, заявив, что исходный банковский счет был заморожен из-за финансовой проверки.

Сообщается, что злоумышленники крадут «несколько миллионов долларов» за каждый инцидент, а также используют опечатки в доменах, чтобы еще больше обмануть жертв.

Злоупотребление DocuSign

Эту кампанию заметили исследователи из Mitiga, расследовавшие случай реагирования на инциденты.

Все начинается с фишинговой атаки на рабочую почту жертвы. Митига обнаружил, что это электронное письмо выглядит так, как будто оно исходит от DocuSign, и что оно обычно содержит кнопку с надписью «Просмотреть документ». Цели, которые нажимают кнопку, будут перенаправлены на фишинговую страницу, имитирующую страницу входа в домен Windows. Затем с помощью инструмента evilginx2 злоумышленники могут украсть файлы cookie сеанса и, таким образом, обойти многофакторную аутентификацию (MFA).

Кража файлов cookie сеанса для обхода многофакторной аутентификации – не новая практика, и компании начали бороться с ней, сокращая продолжительность сеансов. Это безопаснее, но не так удобно, поскольку пользователям приходится чаще повторно аутентифицироваться на своих конечные точки. Чтобы решить эту проблему, злоумышленники начали регистрировать дополнительные устройства MFA в скомпрометированных учетных записях, поскольку этот шаг не вызывает никаких уведомлений.

Однако исследователи пришли к выводу, что изменения MFA в учетных записях пользователей можно отслеживать с помощью журналов аудита Azure Active Directory.

Через: BleepingComputer


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE