BEC-Betrugskampagne gegen Office 365

Die Angreifer in der BEC-Kampagne (Business Email Compromise), kombinieren laut Mitiga hochentwickeltes Spear-Phishing mit einem Adversary-in-the-Middle (AiTM)-Angriff, um die Multi-Faktor-Authentifizierung (MFA) und einen Designfehler von Microsoft 365 zu umgehen, der es ihnen ermöglicht, einen dauerhaften Zugang mit MFA zu schaffen.

Unter Ausnutzung dieses uneingeschränkten Zugriffs überwachen die Angreifer die E-Mail-Konten der Opfer, bis eine größere Transaktion ansteht, und senden dann eine betrügerische E-Mail mit der Aufforderung, das Zielkonto auf ein von den Angreifern kontrolliertes Konto zu ändern, um diese Gelder effektiv zu stehlen.

Diese Kampagne ist inzwischen im Internet weit verbreitet und zielt auf große Transaktionen von jeweils bis zu mehreren Millionen Dollar ab.

Hintergrund

Mitiga wurde gerufen, um einen versuchten Business Email Compromise (BEC)-Angriff zu untersuchen. Während die Wachsamkeit der beteiligten Parteien den Betrug verhinderte, zeigte der Angriff, dass der Angreifer Zugang zu sensiblen Informationen hatte, die nur durch die Kompromittierung eines Benutzers im Unternehmen erlangt werden konnten. Dies führte zu einer umfassenden Untersuchung, die den gesamten Ablauf der Angreifer in der Kampagne aufdeckte.

Kompromittierung von Geschäfts-E-Mails

Der Vorfall wurde zunächst von einer dritten Partei des angegriffenen Unternehmens entdeckt. Der Thread bezog sich auf eine laufende Transaktion, an der vier verschiedene Parteien beteiligt waren:

Foobar – das Unternehmen, das die Gelder aus der Transaktion erhielt

Foobarlegal-Die Anwaltskanzlei, die Foobar vertritt

Buyer – das Unternehmen, das die Transaktion durchführt

Buyerlegal-Die Anwaltskanzlei des Käufers

Die E-Mail enthielt auch einen Anhang mit den Überweisungsanweisungen, aber was noch wichtiger war: Die E-Mail war eine „Reply All“-Antwort in einem Thread über die Transaktion, der alle aktuellen Nachrichten in diesem Thread enthielt. Dies war ein eindeutiger Hinweis darauf, dass eines der Konten in diesem Thread kompromittiert worden war.

Die E-Mail, die der Angreifer schickte, enthielt alle Empfänger des ursprünglichen Threads. Der Angreifer erstellte jedoch gefälschte Domänen für Foobar und Foobar legal, indem er ähnliche Domänennamen verwendete, z. B. ein großes i anstelle eines l usw. Der Angreifer verwendete die gefälschte Domäne F00bar legal, um die E-Mail von Bob als bevollmächtigtem Rechtsvertreter zu senden, der den Käufer über eine Änderung des Zielkontos informiert. Die gefälschte DomäneF00bar wurde auch benötigt, um sicherzustellen, dass die E-Mail echt aussieht, indem die Empfänger von Foobar scheinbar in CC aufgeführt werden, ohne dass sie die E-Mail aufgrund der neuen gefälschten Domänen tatsächlich sehen.

ZDNet.de Redaktion

Recent Posts

Top-Malware im Januar: Infostealer Formbook kehrt zurück

Formbook ist für 16,5 Prozent der Malware-Infektion in Deutschland verantwortlich. Zudem registriert Check Point eine…

3 Tagen ago

Apple droht Ärger mit dem Bundeskartellamt

Die Wettbewerbshüter nehmen Apples App Tracking Transparency Framework ins Visier. Sie werfen Apple vor, damit…

3 Tagen ago

Phishing-Betrug zum Valentinstag nimmt zu

Im Januar werden über 18.000 neue Websites zum Thema Liebe und Valentinstag registriert. Auch die…

3 Tagen ago

Sicherheitslücke in AWS erlaubt Angriffe auf Amazon-Cloud-Instanzen

Angreifer schleusen schädliche Amazon Machine Images ein und tarnen diese als offizielle AWS-Images. Sie erhalten…

4 Tagen ago

Google stopft schwerwiegende Sicherheitslöcher in Chrome 133

Chrome für Windows, macOS und Linux sind angreifbar. Für eine der vier Schwachstelle zahlt Google…

4 Tagen ago

Ionos baut seinen AI Model Hub weiter aus

Interessenten bekommen Zugriff auf die Open-Source-Modelle Teuken-7B und Llama 3.3 70B. Kostenfreie Tests bis Ende…

4 Tagen ago