Microsoft si posvítil na podvodné domény, které zneužívaly službu Office 365

Zpět na blog

Oddělení digitální kriminality společnosti Microsoft (DCU – Digital Crimes Unit) zastavilo provoz 17 škodlivých domén, které podvodníci použili v kampaních BEC (business e-mail compromitation) zaměřené na zákazníky společnosti.

Domény, které společnost Microsoft nechala zrušit, byly takzvané „homoglyfové“ domény registrované tak, aby se podobaly doménám legitimních firem. Tato technika umožnila aktérům hrozby vydávat se při komunikaci s klienty za etablované společnosti.

Gang z Afriky

Podle stížnosti podané společností Microsoft minulý týden (další podrobnosti jsou k dispozici v soudním příkazu) útočníci používali domény registrované prostřednictvím společností NameSilo a KS Domains/Key-Systems jako škodlivou infrastrukturu při útocích BEC proti zákazníkům a službám Office 365.

„Obžalovaní používají škodlivé homoglyfové domény spolu s ukradenými přihlašovacími údaji zákazníků k nezákonnému přístupu k zákaznickým účtům, sledování e-mailového provozu zákazníků, shromažďování informací o probíhajících finančních transakcích a zločinnému vydávání se za zákazníky O365, to vše ve snaze oklamat své oběti a přimět je k převodu finančních prostředků kyberzločincům,“ uvedl Microsoft. „Náprava požadovaná v této žalobě je nezbytná k zastavení kyberzločinců a k zabránění nenapravitelné a trvalé újmě společnosti Microsoft a jejích zákazníků.“

Zločinci, kteří stojí za touto kampaní, jsou podle společnosti Microsoft „součástí rozsáhlé sítě, která má zřejmě základnu v západní Africe“, a zaměřují se především na severoamerické malé podniky působící v několika průmyslových odvětvích.

„Skupina postupovala tak, že shromažďovala informace, aby se vydávala za tyto zákazníky a snažila se oběti přimět k převodu finančních prostředků kyberzločincům,“ uvedla Amy Hogan-Burney, generální ředitelka DCU ve společnosti Microsoft. „Jakmile zločinci získali přístup do sítě, napodobovali zaměstnance zákazníků a zaměřovali se na jejich důvěryhodné sítě, dodavatele, smluvní partnery a zástupce ve snaze oklamat je, aby odeslali nebo schválili podvodné finanční platby.“

BEC kampaně na vzestupu

Tato taktika se shoduje s metodami používanými při podvodech typu BEC, kdy útočníci využívají různé metody (včetně sociálního inženýrství, phishingu a hackingu) ke kompromitaci firemních e-mailových účtů. Ty následně používají k přesměrování plateb na bankovní účty pod svou kontrolou nebo k cílení na zaměstnance v rámci podvodů s dárkovými kartami.

Není to poprvé, co se společnost Microsoft musela s podobnými incidenty potýkat. Například minulý měsíc výzkumníci programu Microsoft 365 Defender narušili cloudovou infrastrukturu, kterou využívala jiná rozsáhlá kampaň BEC. Při červnových útocích podvodníci používali starší protokoly jako IMAP/POP3 k exfiltraci e-mailů a obcházení MFA na účtech Exchange Online, když se cílům nepodařilo vypnout starší autentizaci.

O měsíc dříve společnost Microsoft odhalila ještě jeden gang BEC zaměřený na více než 120 organizací, který používal domény s překlepy registrované jen několik dní před zahájením útoků.

Ačkoli se v některých případech může zdát, že metody podvodníků BEC postrádají sofistikovanost a jejich phishingové e-maily mohou někomu připadat snadno odhalitelné, stojí útoky BEC od roku 2018 za obrovskými finančními ztrátami. Výroční zpráva FBI o kyberkriminalitě za rok 2020 uvádí rekordní počet ztrát ve výši více než 1,8 miliardy dolarů, které byly zaznamenány jen v loňském roce.

V březnu FBI také varovala před útoky BEC, které se stále častěji zaměřují na americké státní, místní, kmenové a územní vládní subjekty. V dalších upozorněních zaslaných v loňském roce FBI varovala před podvodníky BEC, kteří při svých útocích zneužívají automatické přeposílání e-mailů a cloudové e-mailové služby (včetně Microsoft Office 365 a Google G Suite).

Zdoj: The Hacker News

26. 7. 2021