Siber güvenlik uzmanları, büyük para işlemlerini saldırganlara ait banka hesaplarına yeniden yönlendirmeyi amaçlayan yeni ve yaygın bir iş e-posta güvenliği (BEC) kampanyası konusunda uyarıyorlar.
Fikir teoride basit: Saldırganlar önce bir iş e-postasını tehlikeye atar (yeni sekmede açılır) kimlik avı kullanımı yoluyla hesap. Ardından, gelen kutusuna inerler ve orada, bir banka havalesinin nerede planlandığını belirleyene kadar çeşitli e-posta zincirlerini ve ileti dizilerini izleyerek gizlenirler. Ardından, planlama yapıldığında ve kurban parayı göndermeden hemen önce, saldırgan e-posta zincirine yanıt vererek fonların başka bir yere gönderilmesini ister ve orijinal banka hesabının bir mali denetim nedeniyle dondurulduğunu söyler.
Saldırganların olay başına “birkaç milyon dolar” çaldığı ve ayrıca kurbanları daha fazla kandırmak için yazım hatası alanlarını kullandığı bildiriliyor.
DocuSign’ı Kötüye Kullanma
Kampanya, bir olay müdahale vakasını araştıran Mitiga’dan araştırmacılar tarafından fark edildi.
Her şey kurbanın iş e-postasına yapılan bir kimlik avı saldırısıyla başlar. Mitiga, bu e-postanın DocuSign’dan geliyormuş gibi görünecek şekilde tasarlandığını ve genellikle “Belgeyi İncele” yazan bir düğme taşıdığını buldu. Düğmeye basan hedefler, bir Windows etki alanı oturum açma sayfasını taklit etmek için oluşturulmuş bir kimlik avı sayfasına yönlendirilecektir. Ardından, kötügünüx2 adlı bir araç yardımıyla, saldırganlar oturum çerezlerini çalabilir ve böylece çok faktörlü kimlik doğrulamayı (MFA) atlayabilir.
MFA’yı atlamak için oturum çerezlerini çalmak yeni bir uygulama değildir ve işletmeler, oturumların daha kısa sürmesini sağlayarak buna karşı koymaya başladılar. Kullanıcıların uç noktalarında daha sık yeniden kimlik doğrulaması yapmaları gerektiğinden daha güvenlidir ancak o kadar kullanışlı değildir. (yeni sekmede açılır). Bu zorluğu çözmek için tehdit aktörleri, güvenliği ihlal edilmiş hesaplara ek MFA cihazları kaydetmeye başladı, çünkü bu hareket herhangi bir bildirimi tetiklemez.
Ancak araştırmacılar, kullanıcı hesaplarındaki MFA değişikliklerinin Azure Active Directory Denetim Günlükleri aracılığıyla izlenebileceği sonucuna vardı.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)