Die Angreifer in der BEC-Kampagne (Business Email Compromise), kombinieren laut Mitiga hochentwickeltes Spear-Phishing mit einem Adversary-in-the-Middle (AiTM)-Angriff, um die Multi-Faktor-Authentifizierung (MFA) und einen Designfehler von Microsoft 365 zu umgehen, der es ihnen ermöglicht, einen dauerhaften Zugang mit MFA zu schaffen.
Unter Ausnutzung dieses uneingeschränkten Zugriffs überwachen die Angreifer die E-Mail-Konten der Opfer, bis eine größere Transaktion ansteht, und senden dann eine betrügerische E-Mail mit der Aufforderung, das Zielkonto auf ein von den Angreifern kontrolliertes Konto zu ändern, um diese Gelder effektiv zu stehlen.
Diese Kampagne ist inzwischen im Internet weit verbreitet und zielt auf große Transaktionen von jeweils bis zu mehreren Millionen Dollar ab.
Hintergrund
Mitiga wurde gerufen, um einen versuchten Business Email Compromise (BEC)-Angriff zu untersuchen. Während die Wachsamkeit der beteiligten Parteien den Betrug verhinderte, zeigte der Angriff, dass der Angreifer Zugang zu sensiblen Informationen hatte, die nur durch die Kompromittierung eines Benutzers im Unternehmen erlangt werden konnten. Dies führte zu einer umfassenden Untersuchung, die den gesamten Ablauf der Angreifer in der Kampagne aufdeckte.
Kompromittierung von Geschäfts-E-Mails
Der Vorfall wurde zunächst von einer dritten Partei des angegriffenen Unternehmens entdeckt. Der Thread bezog sich auf eine laufende Transaktion, an der vier verschiedene Parteien beteiligt waren:
Foobar – das Unternehmen, das die Gelder aus der Transaktion erhielt
Foobarlegal-Die Anwaltskanzlei, die Foobar vertritt
Buyer – das Unternehmen, das die Transaktion durchführt
Buyerlegal-Die Anwaltskanzlei des Käufers
Die E-Mail enthielt auch einen Anhang mit den Überweisungsanweisungen, aber was noch wichtiger war: Die E-Mail war eine „Reply All“-Antwort in einem Thread über die Transaktion, der alle aktuellen Nachrichten in diesem Thread enthielt. Dies war ein eindeutiger Hinweis darauf, dass eines der Konten in diesem Thread kompromittiert worden war.
Die E-Mail, die der Angreifer schickte, enthielt alle Empfänger des ursprünglichen Threads. Der Angreifer erstellte jedoch gefälschte Domänen für Foobar und Foobar legal, indem er ähnliche Domänennamen verwendete, z. B. ein großes i anstelle eines l usw. Der Angreifer verwendete die gefälschte Domäne F00bar legal, um die E-Mail von Bob als bevollmächtigtem Rechtsvertreter zu senden, der den Käufer über eine Änderung des Zielkontos informiert. Die gefälschte DomäneF00bar wurde auch benötigt, um sicherzustellen, dass die E-Mail echt aussieht, indem die Empfänger von Foobar scheinbar in CC aufgeführt werden, ohne dass sie die E-Mail aufgrund der neuen gefälschten Domänen tatsächlich sehen.
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.