Os pesquisadores do Microsoft 365 Defender interromperam a infraestrutura baseada em nuvem usada por fraudadores por trás de uma campanha recente de comprometimento de email comercial (BEC) em larga escala.
Os invasores comprometeram as caixas de correio de seus alvos por meio de phishing e roubaram informações confidenciais em e-mails que correspondiam às regras de encaminhamento, permitindo que eles acessassem mensagens de transações financeiras.
índice
- Login inicial obtido por phishing
- Protocolos de autenticação herdados usados para ignorar a autenticação multifator
- BEC por trás de quase US $ 2 bilhões em perdas no ano passado
Login inicial obtido por phishing
"O uso da infraestrutura do invasor hospedada em vários serviços da Web permitiu que os invasores operassem furtivamente, o que é característico das campanhas BEC", Stefan Sellmer, da equipe de pesquisa do Microsoft 365 Defender e pesquisador de segurança do Microsoft 365 Defender Center Microsoft Threat Intelligence (MSTIC) Nick Carr Explicado.
"Os invasores realizaram diferentes atividades para diferentes IPs e horários, o que tornou mais difícil para os pesquisadores correlacionar atividades aparentemente díspares como uma única operação."
Pesquisadores da Microsoft revelaram todo o fluxo de ataque por trás de um recente incidente BEC, desde o acesso inicial às caixas de correio das vítimas até a persistência e roubo de dados usando regras de encaminhamento de e-mail.
As informações de login foram roubadas usando mensagens de phishing que redirecionavam alvos para páginas de destino que imitavam de perto as páginas de login da Microsoft, solicitando que eles digitassem suas senhas em um campo de nome de usuário pré-preenchido.
Página inicial de phishing (Microsoft)
Protocolos de autenticação herdados usados para ignorar a autenticação multifator
Embora o uso de credenciais roubadas para comprometer caixas de correio seja bloqueado pela habilitação da autenticação multifator (MFA), a Microsoft também descobriu que os invasores estavam usando protocolos herdados como IMAP/POP3 para enviar emails e ignorar a MFA em contas do Exchange Online. desative a autenticação herdada.
"As credenciais são verificadas com o agente de usuário 'BAV2ROPC', que provavelmente é uma base de código que usa protocolos legados como IMAP/POP3, contra o Exchange Online", disseram os pesquisadores.
"Isso resulta em um fluxo OAuth ROPC, que retorna um "invalid_grant" caso o MFA esteja habilitado, portanto, nenhuma notificação de MFA é enviada."
Os invasores também usaram a infraestrutura descontinuada baseada em nuvem da Microsoft para automatizar operações em grande escala, “incluindo adicionar regras, policiar e monitorar caixas de correio comprometidas, rastrear vítimas de alto valor e gerenciar e-mails encaminhados”.
A Microsoft também descobriu que os golpistas estavam usando atividades BEC originadas de vários intervalos de endereços IP pertencentes a diferentes provedores de nuvem.
Eles também configuraram registros de DNS que quase correspondiam aos de suas vítimas para que suas atividades maliciosas se fundissem com conversas de e-mail pré-existentes e evitassem a detecção.
BEC por trás de quase US $ 2 bilhões em perdas no ano passado
Embora, em alguns casos, os métodos dos golpistas do BEC possam parecer pouco sofisticados e seus e-mails de phishing sejam prejudiciais para alguns, os ataques do BEC estão por trás de perdas financeiras recordes todos os anos desde 2018.
O Relatório Anual de Crimes Cibernéticos do FBI de 2020 listou um número recorde de mais de US$ 1,8 bilhão em perdas ajustadas relatadas no ano passado.
No mês passado, a Microsoft detectou outra campanha BEC em grande escala visando mais de 120 empresas usando domínios registrados com erros ortográficos poucos dias antes do início dos ataques.
Em março, o FBI também alertou sobre ataques BEC visando cada vez mais entidades governamentais estaduais, locais, tribais e territoriais (SLTT), com perdas relatadas que variam de US$ 10.000 a US$ 4 milhões desde novembro de 2018. em setembro de 2020.
Em outros alertas enviados no ano passado, o FBI alertou sobre os golpistas do BEC que abusavam do encaminhamento automático de e-mail e serviços de e-mail na nuvem, como o Microsoft Office 365 e o Google G Suite em seus ataques.
- Paramount + é um desperdício de dinheiro e eu não deveria ter me inscrito – Geek Review
- Como renomear colunas ou linhas no Planilhas Google
descubra mais conteúdo
O que é um amplificador integrado?
Google Pixel Watch também tem detecção de queda, mas não até o próximo ano
As melhores xícaras de café aquecidas de 2022
Como automatizar seu iPhone com base na hora, atividade ou localização
"Isso deve ter sido antes do meu tempo"
Por que a NASA enviou Snoopy para a Lua? – Revisão Geek
Deixe uma resposta Cancelar resposta
O que é MFA no Office 365?
A autenticação multifator ( MFA ) impede o acesso não autorizado à sua conta do Microsoft 365 . A MFA requer um método de verificação, como um código enviado a você em uma mensagem de texto, sempre que você fizer login em sua conta.
Como ativar o MFA Office 365?
No centro de administração do Microsoft 365 , no painel de navegação esquerdo, escolha configurações > configurações da organização. Na guia Serviços, escolha Autenticação Moderna e, no painel Autenticação Moderna, certifique-se de que Habilitar Autenticação Moderna esteja selecionado.
Como remover o MFA do Office 365?
Para desabilitar a MFA para um usuário específico, marque a caixa de seleção ao lado de seu nome de tela, as etapas rápidas serão exibidas à direita. Selecione Desativar. Na janela de confirmação, selecione sim e, em seguida, selecione fechar. A MFA será desabilitada para o usuário selecionado.
Como o MFA é ativado?
O aplicativo solicitará que você digitalize um código. Você encontrará este código clicando novamente em Teamleader Focus no ícone do seu usuário > meu perfil > segurança MFA > Ativar . Depois de digitalizar o código, um número de 6 dígitos aparecerá na tela do seu celular.