近日,有安全研究员在一项新的商业电子邮件泄露 (BEC) 攻击活动中,发现攻击者使用中间攻击 (AiTM) 网络钓鱼网站作为跳板,入侵目标企业高管的 Microsoft 365 帐户,其中不乏受 MFA 保护的帐户。
据介绍,通过访问大型组织的 CEO 或 CFO 等高级员工的账户,攻击者可以控通信并在适当的时候回复电子邮件,从而将大笔交易转移到他们的银行账户。这是典型的商业电子邮件泄露攻击,攻击者在最后时刻从受感染账户发送电子邮件,请求交易的授权成员更改银行账户目的地。
Mitiga 研究人员在一次事件响应案例中发现了这一新活动,并报告称它现在很普遍,针对每笔高达数百万美元的交易。
在这些攻击中发送的网络钓鱼电子邮件告诉目标,他们通常发送付款的公司银行账户由于财务审计而被冻结,并附有新的付款指令,这些指令会切换到被指控的子公司的账户。然而,这个新的银行账户归窃取付款的威胁者所有。
为了欺骗收件人,攻击者劫持电子邮件线程并使用域名仿冒域名,这些域名迅速作为真实的域名传递给受害者知道的抄送法律代表,让他们参与交换。[阅读原文]