Infractorii cibernetici și-au desfășurat campaniile din cloud și au folosit reguli de redirectare phishing și prin e-mail pentru a fura informațiile financiare ale persoanelor vizate.

Microsoft a închis o operațiune extinsă de tip Business Email Compromise (BEC) care avea infrastructura găzduită pe mai multe servicii web. Folosind aceste active bazate pe cloud, autorii din spatele operațiunii s-au infiltrat în sute casuțe email din mai multe organizații și au obținut astfel acces la date financiare sensibile.

„Atacatorii au folosit această infrastructură bazată pe cloud pentru a compromite cutiile poștale prin tehnici de phishing și pentru a adăuga reguli de redirecționare, care le-au permis ulterior să aibă acces la e-mailuri asociate unor tranzacțiile financiare”, a spus Microsoft.

Datorită utilizării mai multor servicii web, actorii acestor acte infracționale au putut să rămână nedescoperiți. Pentru a eschiva detecția, aceștia își desfășurau activitățile prin diferite IP-uri și la intervale de timp aleatorii, ceea ce i-a făcut și mai greu de depistat, deoarece nu părea că acțiunile lor erau interconectate sau că făceau parte dintr-o operațiune mai mare.

Un alt articol pe aceeași temă: 4:15 p.m.: An urgent message from the CEO

Pentru a câștiga un punct de intrare inițial în sistemele victimelor, atacatorii au debutat cu un atac de phishing prin care au furat credențialele de autentificare email și au câștigat astfel accesul în căsuțele de poștă electronică, apoi au stabilit reguli de redirecționare a e-mailurilor. Microsoft a subliniat în corelație cu acest fapt că  autentificarea în conturi cu mai mulți factori este un instrument util pentru a bloca succesul unor astfel de atacuri.

E-mailurile de phishing conțineau un atașament HTML mascat ca mesaj vocal. Odată ce victima dădea click pe atașament, aceasta se manifesta ca o pagină de conectare Microsoft cu numele de utilizator deja completat - la fel ca paginile normale de conectare de tip enterprise.

Cu toate acestea, odată ce ținta își introducea parola și încerca să se conecteze, pagina genera un mesaj de eroare de tip „fișierul nu a fost găsit”. Între timp, datele de conectare erau deja trimise atacatorilor. Din acest punct, se stabileau regulile de forward automat ale mesajelor email primite în inbox și campania BEC putea începe să colecteze date.

„Aceste reguli de redirecționare le-au permis atacatorilor să redirecționeze e-mailuri cu tematică financiară către adresele inbox controlate de atacator: ex@exdigy.net și in@jetclubs.biz. Atacatorii au adăugat, de asemenea, reguli automate de ștergere a masajelor e-mail retrimise din cutia poștală compromisă, pentru ca operațiunea să nu fie descoperită”, a explicat Microsoft.

Odată ce compania a descoperit operațiunea, a lucrat cu agențiile specializate de aplicare a legii și cu partenerii din industrie pentru a elimina infrastructura care alimentează operațiunea de scamming.

Escrocheriile BEC - o problemă costisitoare și consecventă

Potrivit Raportului FBI 2020 Internet Crime Report, escrocheriile BEC sunt cele mai scumpe escrocherii care folosesc vectori de atac similari; pierderile provenite din 19.000 de incidente rapoarte în corelație escrocherii au atins un total de aproape 2 miliarde USD anul trecut.