Хакеры воруют огромные суммы через скомпрометированную электронную почту
Хакеры воруют огромные суммы через скомпрометированную электронную почту. Фото: СС0
Идея проста в теории: злоумышленники сначала компрометируют корпоративную учетную запись с помощью фишинга. Затем они попадают в папку «Входящие», отслеживая различные цепочки и потоки электронной почты, пока не найдут ту, в которой планируется банковский перевод.
Затем, когда планирование завершено, и непосредственно перед тем, как жертва отправит средства, злоумышленник отвечает на цепочку электронных писем с просьбой отправить средства в другое место, заявив, что первоначальный банковский счет был заморожен из-за финансовой проверки.
Сообщается, что злоумышленники крадут «несколько миллионов долларов» за каждый инцидент, а также используют типосквотированные домены для маскировки.
Кампанию заметили исследователи из Mitiga, расследовавшие случай реагирования на инциденты.
Взлом начинается с атаки на рабочую почту жертвы. Исследователи обнаружили, что это электронное письмо выглядит так, как будто оно исходит от DocuSign, и обычно содержит кнопку с надписью «Просмотреть документ». Жертвы, которые нажимают кнопку, перенаправляются на фишинговую страницу, имитирующую страницу входа в домен Windows.
Затем с помощью инструмента evilginx2 злоумышленники крадут файлы cookie сеанса и, таким образом, обходят многофакторную аутентификацию (MFA). После этого, они отслеживают письма и перенаправляют транзакции.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
17026
Комментариев пока не было