Użytkownicy Microsoft 365 narażeni na nowy rodzaj ataków BEC
15 lutego 2021
Badacze Abnormal Security wykryli nowy rodzaj ataków typu BEC (Business E-mail Compromise). Oszuści wykorzystują do przesyłania wiadomości popularny autoresponder „Out of office”.
Największe natężenie ataków miało miejsce w grudniu 2020 roku w czasie sezonu świątecznego, a ich celem byli użytkownicy platformy Microsoft 365. Wysyłane e-maile próbowały ominąć korporacyjne systemy zabezpieczeń poczty e-mail, w czasie kiedy wielu użytkowników miało włączony autoresponder „Out of office”. Napastnicy tworzyli charakterystyczną dla ataków BEC wiadomość e-mail, mającą na celu wyłudzenie pieniędzy. Jednak w tym konkretnymi przypadku oszuści manipulowali nagłówkami, wpisując w nagłówku „Reply-To:”, aby wskazać inną osobą w docelowej organizacji. W związku z tym informacja może być przekazana do jednego pracownika (np. Adam Kowalski), ale nagłówek „Reply-To:” zawiera adres innej osoby (np. Małgorzata Nowak). Adam Kowalski ma włączony autoresponder „Out of office”, a więc po otrzymaniu fałszywej wiadomości e-mail generowana jest automatyczna odpowiedź. Jednak nie jest ona odsyłana do prawdziwego nadawcy, lecz do Małgorzaty Nowak, a jej treść skłania do przekazania pieniędzy na konto oszusta. Z racji tego, że wiadomość e-mail pochodzi z konta Adama Kowalskiego, a nie nadawcy spoza organizacji, może nie zostać powstrzymana przez systemy bezpieczeństwa. Tego typu zabezpieczenia koncentrują się przede wszystkim na blokowaniu poczty elektronicznej przychodzącej z zewnątrz. Poza tym wielu użytkowników biznesowych ufa e-mailom przesyłanym wewnątrz organizacji, zaś z dużo większą rezerwą podchodzi do informacji pochodzących ze źródeł zewnętrznych.
- Wprawdzie nie są znane szczegóły dotyczące skuteczności tej techniki, aczkolwiek wiele wskazuje na to, że oszuści będą z niej korzystać szczególnie w sezonach urlopowych czy świątecznych. W atakach BEC często stosowane są sztuczki phishingowe, najczęściej są one bardziej wyrafinowane, ale oszuści cały czas szukają nowych metod, co doskonale pokazuje przypadek wykryty przez Abnormal Seurity. Dlatego też pracownicy muszą bardzo uważnie czytać e-maile, aby zweryfikować czy na pewno zostały wysłane przez współpracownika. – tłumaczy Mariusz Politowicz, z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.