BEC-Betrugskampagne gegen Office 365

Die Angreifer in der BEC-Kampagne (Business Email Compromise), kombinieren laut Mitiga hochentwickeltes Spear-Phishing mit einem Adversary-in-the-Middle (AiTM)-Angriff, um die Multi-Faktor-Authentifizierung (MFA) und einen Designfehler von Microsoft 365 zu umgehen, der es ihnen ermöglicht, einen dauerhaften Zugang mit MFA zu schaffen.

Unter Ausnutzung dieses uneingeschränkten Zugriffs überwachen die Angreifer die E-Mail-Konten der Opfer, bis eine größere Transaktion ansteht, und senden dann eine betrügerische E-Mail mit der Aufforderung, das Zielkonto auf ein von den Angreifern kontrolliertes Konto zu ändern, um diese Gelder effektiv zu stehlen.

Diese Kampagne ist inzwischen im Internet weit verbreitet und zielt auf große Transaktionen von jeweils bis zu mehreren Millionen Dollar ab.

Hintergrund

Mitiga wurde gerufen, um einen versuchten Business Email Compromise (BEC)-Angriff zu untersuchen. Während die Wachsamkeit der beteiligten Parteien den Betrug verhinderte, zeigte der Angriff, dass der Angreifer Zugang zu sensiblen Informationen hatte, die nur durch die Kompromittierung eines Benutzers im Unternehmen erlangt werden konnten. Dies führte zu einer umfassenden Untersuchung, die den gesamten Ablauf der Angreifer in der Kampagne aufdeckte.

Kompromittierung von Geschäfts-E-Mails

Der Vorfall wurde zunächst von einer dritten Partei des angegriffenen Unternehmens entdeckt. Der Thread bezog sich auf eine laufende Transaktion, an der vier verschiedene Parteien beteiligt waren:

Foobar – das Unternehmen, das die Gelder aus der Transaktion erhielt

Foobarlegal-Die Anwaltskanzlei, die Foobar vertritt

Buyer – das Unternehmen, das die Transaktion durchführt

Buyerlegal-Die Anwaltskanzlei des Käufers

Die E-Mail enthielt auch einen Anhang mit den Überweisungsanweisungen, aber was noch wichtiger war: Die E-Mail war eine „Reply All“-Antwort in einem Thread über die Transaktion, der alle aktuellen Nachrichten in diesem Thread enthielt. Dies war ein eindeutiger Hinweis darauf, dass eines der Konten in diesem Thread kompromittiert worden war.

Die E-Mail, die der Angreifer schickte, enthielt alle Empfänger des ursprünglichen Threads. Der Angreifer erstellte jedoch gefälschte Domänen für Foobar und Foobar legal, indem er ähnliche Domänennamen verwendete, z. B. ein großes i anstelle eines l usw. Der Angreifer verwendete die gefälschte Domäne F00bar legal, um die E-Mail von Bob als bevollmächtigtem Rechtsvertreter zu senden, der den Käufer über eine Änderung des Zielkontos informiert. Die gefälschte DomäneF00bar wurde auch benötigt, um sicherzustellen, dass die E-Mail echt aussieht, indem die Empfänger von Foobar scheinbar in CC aufgeführt werden, ohne dass sie die E-Mail aufgrund der neuen gefälschten Domänen tatsächlich sehen.