Die Angreifer in der BEC-Kampagne (Business Email Compromise), kombinieren laut Mitiga hochentwickeltes Spear-Phishing mit einem Adversary-in-the-Middle (AiTM)-Angriff, um die Multi-Faktor-Authentifizierung (MFA) und einen Designfehler von Microsoft 365 zu umgehen, der es ihnen ermöglicht, einen dauerhaften Zugang mit MFA zu schaffen.
Unter Ausnutzung dieses uneingeschränkten Zugriffs überwachen die Angreifer die E-Mail-Konten der Opfer, bis eine größere Transaktion ansteht, und senden dann eine betrügerische E-Mail mit der Aufforderung, das Zielkonto auf ein von den Angreifern kontrolliertes Konto zu ändern, um diese Gelder effektiv zu stehlen.
Diese Kampagne ist inzwischen im Internet weit verbreitet und zielt auf große Transaktionen von jeweils bis zu mehreren Millionen Dollar ab.
Hintergrund
Mitiga wurde gerufen, um einen versuchten Business Email Compromise (BEC)-Angriff zu untersuchen. Während die Wachsamkeit der beteiligten Parteien den Betrug verhinderte, zeigte der Angriff, dass der Angreifer Zugang zu sensiblen Informationen hatte, die nur durch die Kompromittierung eines Benutzers im Unternehmen erlangt werden konnten. Dies führte zu einer umfassenden Untersuchung, die den gesamten Ablauf der Angreifer in der Kampagne aufdeckte.
Kompromittierung von Geschäfts-E-Mails
Der Vorfall wurde zunächst von einer dritten Partei des angegriffenen Unternehmens entdeckt. Der Thread bezog sich auf eine laufende Transaktion, an der vier verschiedene Parteien beteiligt waren:
Foobar – das Unternehmen, das die Gelder aus der Transaktion erhielt
Foobarlegal-Die Anwaltskanzlei, die Foobar vertritt
Buyer – das Unternehmen, das die Transaktion durchführt
Buyerlegal-Die Anwaltskanzlei des Käufers
Die E-Mail enthielt auch einen Anhang mit den Überweisungsanweisungen, aber was noch wichtiger war: Die E-Mail war eine „Reply All“-Antwort in einem Thread über die Transaktion, der alle aktuellen Nachrichten in diesem Thread enthielt. Dies war ein eindeutiger Hinweis darauf, dass eines der Konten in diesem Thread kompromittiert worden war.
Die E-Mail, die der Angreifer schickte, enthielt alle Empfänger des ursprünglichen Threads. Der Angreifer erstellte jedoch gefälschte Domänen für Foobar und Foobar legal, indem er ähnliche Domänennamen verwendete, z. B. ein großes i anstelle eines l usw. Der Angreifer verwendete die gefälschte Domäne F00bar legal, um die E-Mail von Bob als bevollmächtigtem Rechtsvertreter zu senden, der den Käufer über eine Änderung des Zielkontos informiert. Die gefälschte DomäneF00bar wurde auch benötigt, um sicherzustellen, dass die E-Mail echt aussieht, indem die Empfänger von Foobar scheinbar in CC aufgeführt werden, ohne dass sie die E-Mail aufgrund der neuen gefälschten Domänen tatsächlich sehen.
Formbook ist für 16,5 Prozent der Malware-Infektion in Deutschland verantwortlich. Zudem registriert Check Point eine…
Die Wettbewerbshüter nehmen Apples App Tracking Transparency Framework ins Visier. Sie werfen Apple vor, damit…
Im Januar werden über 18.000 neue Websites zum Thema Liebe und Valentinstag registriert. Auch die…
Angreifer schleusen schädliche Amazon Machine Images ein und tarnen diese als offizielle AWS-Images. Sie erhalten…
Chrome für Windows, macOS und Linux sind angreifbar. Für eine der vier Schwachstelle zahlt Google…
Interessenten bekommen Zugriff auf die Open-Source-Modelle Teuken-7B und Llama 3.3 70B. Kostenfreie Tests bis Ende…