Microsoft elimina la operación BEC a gran escala


Los estafadores ejecutaron sus campañas desde la nube y utilizaron reglas de phishing y reenvío de correo electrónico para robar la información financiera de sus objetivos.

Microsoft ha cerrado una extensa operación de Enterprise E-mail Compromise (BEC) que tenía su infraestructura alojada en varios servicios world wide web. Con estos activos basados ​​en la nube, los actores de amenazas se infiltraron en cientos de buzones de correo en varias organizaciones y consiguieron datos financieros confidenciales.

«Los atacantes utilizaron esta infraestructura basada en la nube para comprometer los buzones de correo a través del phishing y agregar reglas de reenvío, lo que les permitió acceder a correos electrónicos sobre transacciones financieras». dijo Microsoft.

En parte gracias al uso de múltiples servicios world wide web, los actores de amenazas pudieron permanecer fuera del radar. Para confundir la detección, llevarían a cabo sus actividades para diferentes IP y períodos de tiempo, lo que los hacía difíciles de rastrear, ya que no parecía que sus acciones estuvieran conectadas o formaran parte de una operación más grande.

Para hacerse un hueco en los sistemas de su objetivo, los atacantes comenzaron con un ataque de phishing a través del cual robaron las credenciales de inicio de sesión y obtuvieron acceso a los buzones de correo, y luego establecieron reglas de reenvío de correo electrónico. Microsoft destacó que autenticación multifactor es una herramienta útil para prevenir este tipo de ataques.

El correo electrónico de phishing contenía un archivo adjunto HTML disfrazado de mensaje de voz. Una vez que la víctima hizo clic en el archivo adjunto, se manifestaría como una página de inicio de sesión de Microsoft con el nombre de usuario ya completado, al igual que las páginas de inicio de sesión empresariales normales.

Sin embargo, una vez que el objetivo ingresó su contraseña e intentó iniciar sesión, la página generaría un mensaje de mistake de «archivo no encontrado». Mientras tanto, las credenciales de inicio de sesión se enviarían a los atacantes. A partir de ahí, establecieron las reglas de reenvío y la campaña BEC podría comenzar en serio.

“Estas reglas de reenvío permitieron a los atacantes redirigir correos electrónicos con temas financieros a las direcciones de correo electrónico controladas por el atacante ex@exdigy.web y in@jetclubs.biz. Los atacantes también agregaron reglas para eliminar los correos electrónicos reenviados del buzón para mantenerse sigilosos ”, explicó Microsoft.

Una vez que la empresa descubrió la operación, trabajó con las agencias de aplicación de la ley y los socios de la industria para derribar la infraestructura que impulsa la operación fraudulenta.

Estafas BEC: un problema costoso y perenne

Según el FBI Informe sobre delitos en Web de 2020, Las estafas BEC son la estafa más costosa, ya que las pérdidas que emanan de 19.000 informes de estas estafas alcanzó un overall de casi US $ 2 mil millones el año pasado. Vale la pena señalar que las pérdidas por estafas BEC ascendieron a más que las pérdidas combinadas de los siguientes seis tipos más costosos de ciberdelitos combinados.



Enlace a la noticia primary