في تقرير نُشر يوم الخميس، كشفت مايكروسوفت أن المؤسسات المصرفية والمالية أصبحت هدفاً لهجوم تصيد احتيالي جديد واختراق البريد الإلكتروني التجاري متعدد المراحل (BEC)، والمعروف باسم الخصم في المنتصف (AitM).
أشارت شركة التكنولوجيا العملاقة إلى أن الهجوم نشأ من مزود خدمة موثوق به تعرض للاختراق، تطور الأمر إلى سلسلة من هجمات AitM وأنشطة BEC وقد أثر ذلك على العديد من المنظمات.
رصدت مايكروسوفت هجوماً قوياً على المؤسسات المصرفية
مايكروسوفت، والتي تراقب هذه المجموعة عن كثب تحت الاسم الناشئ Storm-1167وسلط الضوء على استخدام المجموعة لوكيل غير مباشر لتنفيذ الهجوم.
وقد سمح هذا للمهاجمين قم بتكييف صفحات التصيد الاحتيالي بمرونة لتناسب أهدافك وقم بسرقة ملفات تعريف الارتباط الخاصة بالجلسة.وهذا يؤكد على التطور المستمر لهجمات الذكاء الاصطناعي في السوق.
تختلف طريقة تنفيذ هذا الهجوم عن طريقة تنفيذ حملات الهجوم على الأهداف الأخرى. حيث تعمل الصفحات الوهمية كخادم وكيل عكسي لجمع بيانات الاعتماد وكلمات المرور. رموز التحقق المؤقتة (TOTPs) التي يدخلها الضحايا.
قام المهاجم بعرض موقع ويب على الأهداف يحاكي صفحة تسجيل الدخول الخاصة بالتطبيق المستهدف، كما هو الحال في هجمات التصيد التقليدية، ويتم استضافته على خدمة سحابية.
Microsoft
"احتوت صفحة تسجيل الدخول على موارد تم تحميلها من خادم يتحكم فيه المهاجم، والذي بدأ جلسة مصادقة مع موفر المصادقة الخاص بالتطبيق وأضافت مايكروسوفت: "الاستهداف باستخدام بيانات اعتماد الضحية".
تبدأ سلسلة الهجمات برسالة بريد إلكتروني للتصيد الاحتيالي يقوم بإعادة توجيه الضحية إلى صفحة تسجيل دخول مزيفة تابعة لشركة مايكروسوفتحيث يُطلب منك إدخال بيانات اعتمادك ورموز TOTP.
تُستخدم كلمات المرور وملفات تعريف الارتباط الخاصة بالجلسة التي تم جمعها لانتحال شخصية المستخدم والوصول غير المصرح به إلى صندوق البريد الإلكتروني عبر هجوم إعادة الإرسال. ثم، يُستخدم هذا الوصول للحصول على رسائل بريد إلكتروني حساسة وتنفيذ هجوم احتيالي عبر البريد الإلكتروني للأعمال (BEC)..
وبالإضافة إلى ذلك، تمت إضافة طريقة جديدة للمصادقة الثنائية تعتمد على الرسائل النصية. إلى الحساب المستهدف لتسجيل الدخول باستخدام بيانات الاعتماد المسروقة دون لفت الانتباه.
هجوم إلكتروني ضخم تضمن 16,000 ألف رسالة بريد إلكتروني
في الحادثة التي حللتها مايكروسوفت، ورد أن المهاجم شن حملة بريد إلكتروني عشوائية واسعة النطاق. إرسال أكثر من 16,000 بريد إلكتروني إلى جهات اتصال المستخدم المخترق، سواء داخل المنظمة أو خارجها، وكذلك إلى قوائم التوزيع.
كما لوحظ أن الخصم قد أخذ تدابير للحد من اكتشاف الرسائل الإلكترونية الواردة وضمان استمراريتها عند الرد عليها. ثم اتخاذ خطوات لإزالتها من صندوق البريد.
في نهاية المطاف، المستفيدون من تُعدّ رسائل البريد الإلكتروني التصيدية هدفًا لهجوم AitM ثانٍ لسرقة بيانات اعتمادك. وتفعيل حملة تصيد أخرى من صندوق البريد الإلكتروني لأحد المستخدمين الذين تم اختراق حسابهم نتيجة لهجوم AitM.
"هذا الهجوم يُظهر تعقيد التهديدات المتعلقة بالاحتيال الإلكتروني في مجال إدارة الأصول (AitM) والاحتيال الإلكتروني في مجال الأعمال (BEC)، والتي تستغل علاقات الثقة بين الموردين.وأضافت الشركة: "مقدمو الخدمات والمنظمات الأخرى المرتبطة بهم بهدف ارتكاب عمليات احتيال مالي".
يأتي هذا الاكتشاف بعد أقل من شهر من حذرت مايكروسوفت من زيادة في هجمات الاحتيال عبر البريد الإلكتروني للأعمال والتكتيكات المتطورة التي يستخدمها مجرمو الإنترنت، بما في ذلك استخدام منصات مثل BulletProftLink لإنشاء حملات بريد إلكتروني خبيثة واسعة النطاق.
تكتيك آخر يتضمن ذلك استخدام عناوين بروتوكول الإنترنت السكنية (IP). وأوضحت الشركة العملاقة في مجال التكنولوجيا أن ذلك يجعل حملات الهجوم تبدو وكأنها تُشن محلياً.
يقوم مرتكبو جرائم الاحتيال الإلكتروني بشراء عناوين IP من خدمات IP السكنية التي تتطابق مع موقع الضحية، وبالتالي إنشاء وكلاء IP سكنيين يسمحون للمجرمين الإلكترونيين بإخفاء أصلهم.
ريدموند.
التعليقات مغلقة.