L’équipe Microsoft Security Intelligence a récemment enquêté sur une attaque de compromission de messagerie professionnelle (BEC) et a constaté que les attaquants se déplaçaient rapidement, certaines étapes ne prenant que quelques minutes.
L’ensemble du processus, de la connexion à l’aide d’informations d’identification compromises à l’enregistrement de domaines de typosquattage et au détournement d’un fil de discussion, n’a pris que quelques heures aux pirates.
Cette progression rapide des attaques garantit que les cibles auront un minimum d’opportunités d’identifier les signes de fraude et de prendre des mesures préventives.
Un problème de plusieurs milliards
Les attaques BEC sont un type de cyberattaque où l’attaquant accède à un compte de messagerie de l’organisation cible par hameçonnage, ingénierie sociale ou achat d’informations d’identification de compte sur le dark web.
L’attaquant se fait ensuite passer pour une personne de confiance, comme un cadre supérieur ou un fournisseur, pour inciter un employé du service financier à approuver une demande de virement électronique frauduleuse.
Selon les données du FBI, de juin 2016 à juillet 2019, les attaques du BEC ont entraîné des pertes s’élevant à plus de 43 milliards de dollars, et cela ne concerne que les cas signalés aux forces de l’ordre.
Dans un fil Twitter, les analystes de Microsoft expliquent qu’une attaque BEC récemment étudiée a commencé avec l’acteur menaçant effectuant une attaque de phishing « adversaire au milieu » (AiTM) pour voler le cookie de session de la cible, en contournant la protection MFA.
L’attaquant s’est connecté au compte de la victime le 5 janvier 2023 et a passé deux heures à chercher dans la boîte aux lettres de bons fils de discussion à pirater.
Le détournement de fil est une technique très efficace qui donne l’impression que le message frauduleux est la continuation d’un échange de communication existant, de sorte que les destinataires sont beaucoup plus susceptibles de lui faire confiance.
Après cela, l’attaquant a enregistré des domaines trompeurs en utilisant des caractères homoglyphes pour les faire apparaître presque identiques aux sites de l’organisation cible et du partenaire usurpé.
Cinq minutes plus tard, l’attaquant a créé une règle de boîte de réception pour siphonner les e-mails de l’organisation partenaire vers un dossier spécifique.
Dans la minute qui a suivi, l’attaquant a envoyé l’e-mail malveillant au partenaire commercial demandant une modification de l’instruction de virement bancaire et a immédiatement supprimé le message envoyé pour réduire la probabilité que l’utilisateur compromis découvre la violation.
De la première connexion à la suppression de l’e-mail envoyé, un total de 127 minutes s’est écoulé, reflétant une ruée du côté de l’attaquant.
Microsoft 365 Defender a généré un avertissement concernant la fraude financière BEC 20 minutes après que l’auteur de la menace a supprimé l’e-mail envoyé et a automatiquement interrompu l’attaque en désactivant le compte de l’utilisateur.
« Lors de nos tests et évaluations des détections et des actions BEC dans les environnements clients confrontés à des scénarios d’attaque réels, des dizaines d’organisations étaient mieux protégées lorsque les comptes étaient automatiquement désactivés par Microsoft 365 Defender », affirme Microsoft.
« Les nouvelles capacités de perturbation automatique laissent à l’équipe SOC le contrôle total pour enquêter sur toutes les actions entreprises par Microsoft 365 Defender et, si nécessaire, réparer les actifs restants et affectés. »
Microsoft affirme que son produit de sécurité a interrompu 38 attaques BEC ciblant 27 organisations en utilisant des signaux de détection et de réponse étendues (XDR) à haute confiance sur les terminaux, les identités, les e-mails et les applications SaaS.