Tim Intelijen Keamanan Microsoft baru-baru ini menyelidiki serangan kompromi email bisnis (BEC) dan menemukan bahwa penyerang bergerak cepat, dengan beberapa langkah hanya membutuhkan beberapa menit.
Seluruh proses, mulai dari masuk menggunakan kredensial yang dikompromikan hingga mendaftarkan domain yang salah ketik dan membajak utas email, hanya membutuhkan waktu beberapa jam bagi pelaku ancaman.
Perkembangan serangan yang cepat ini memastikan bahwa target akan memiliki kesempatan minimal untuk mengidentifikasi tanda-tanda penipuan dan mengambil tindakan pencegahan.
Masalah multi-miliar
Serangan BEC adalah jenis serangan dunia maya di mana penyerang memperoleh akses ke akun email organisasi target melalui phishing, rekayasa sosial, atau membeli kredensial akun di web gelap.
Penyerang kemudian menyamar sebagai individu tepercaya, seperti a Senior eksekutif atau pemasok, untuk mengelabui karyawan yang bekerja di departemen keuangan agar menyetujui permintaan transfer kawat palsu.
Menurut data FBI, dari Juni 2016 hingga Juli 2019, serangan BEC mengakibatkan kerugian lebih dari $43 miliardan ini hanya menyangkut kasus yang dilaporkan ke lembaga penegak hukum.
Di dalam utas Twitteranalis Microsoft menjelaskan bahwa serangan BEC yang baru-baru ini diselidiki dimulai dengan pelaku ancaman melakukan “musuh di tengah” (AiTM) serangan phishing untuk mencuri cookie sesi target, melewati perlindungan MFA.
Penyerang masuk ke akun korban pada 5 Januari 2023, dan menghabiskan dua jam mencari utas email yang bagus di kotak surat untuk dibajak.
Pembajakan utas adalah teknik yang sangat efektif yang membuatnya tampak bahwa pesan penipuan merupakan kelanjutan dari pertukaran komunikasi yang ada, sehingga penerima jauh lebih mungkin untuk mempercayainya.
Setelah itu, penyerang mendaftarkan domain penipuan menggunakan karakter homoglyph untuk membuatnya tampak hampir identik dengan situs organisasi target dan mitra yang ditiru.
Lima menit kemudian, penyerang membuat aturan kotak masuk untuk menyedot email dari organisasi mitra ke folder tertentu.
Pada menit berikutnya, penyerang mengirim email jahat ke mitra bisnis yang meminta perubahan instruksi transfer dan segera menghapus pesan terkirim untuk mengurangi kemungkinan pengguna yang disusupi menemukan pelanggaran.
Dari proses masuk pertama hingga penghapusan email terkirim, total 127 menit telah berlalu, mencerminkan serbuan dari pihak penyerang.
Microsoft 365 Defender mengeluarkan peringatan tentang penipuan finansial BEC 20 menit setelah pelaku ancaman menghapus email yang dikirim dan secara otomatis menghentikan serangan dengan menonaktifkan akun pengguna.
“Dalam pengujian dan evaluasi deteksi dan tindakan BEC kami di lingkungan pelanggan yang menghadapi skenario serangan dunia nyata, lusinan organisasi terlindungi dengan lebih baik saat akun dinonaktifkan secara otomatis oleh Pertahanan Microsoft 365,” klaim Microsoft.
“Kemampuan gangguan otomatis yang baru membuat tim SOC memegang kendali penuh untuk menyelidiki semua tindakan yang diambil oleh Microsoft 365 Defender dan jika diperlukan, pulihkan aset yang tersisa dan terpengaruh.”
Microsoft mengatakan produk keamanannya telah mengganggu 38 serangan BEC yang menargetkan 27 organisasi menggunakan sinyal eXtended Detection and Response (XDR) kepercayaan tinggi di seluruh titik akhir, identitas, email, dan aplikasi SaaS.
