Przy użyciu wiadomości e-mail nawiązujących do COVID-19 cyberprzestępcy przeprowadzili niedawno ataki na użytkowników Microsoft w 62 krajach na świecie. To kolejna forma wzmożonych uderzeń na biznesową pocztę e-mail (BEC), które w ostatnich latach stają się coraz bardziej złożone i wyrafinowane. Według raportu FBI na temat przestępczości internetowej z 2019 roku, naruszenia dotyczące przestępstw na biznesową pocztę e-mail kosztowały organizacje ponad 1,7 mld dolarów. To prawie połowa wszystkich strat finansowych spowodowanych przez cyberprzestępczość.
Sąd Dystryktowy USA dla Wschodniego Dystryktu Wirginii ujawnił niedawno dokumenty, które szczegółowo opisują działania Microsoft zmierzające do powstrzymania cyberprzestępców wykorzystujących pandemię COVID-19. Proces cywilny zakończył się wydaniem nakazu sądowego pozwalającego firmie na przejęcie kontroli nad kluczowymi domenami w infrastrukturze przestępców, tak aby nie mogły być więcej wykorzystywane do przeprowadzania cyberataków.
Zaawansowany phishing
Jednostka Microsoft ds. walki z cyberprzestępstwami po raz pierwszy zaobserwowała działalność wspomnianej grupy w grudniu 2019 r. Przestępcy ci wdrożyli nowy, zaawansowany schemat phishingu, który miał zaatakować konta klientów producenta – chcieli w ten sposób uzyskać dostęp do poczty elektronicznej, list kontaktów, poufnych dokumentów i innych cennych informacji. Jak wskazują specjaliści Microsoft, działalność cyberprzestępców zablokowano i dezaktywowano złośliwą aplikację wykorzystywaną do ataków.
„Niedawno zaobserwowaliśmy jednak wznowienie działalności tej grupy. Tym razem, aby dotrzeć do ofiar, cyberprzestępcy wykorzystali nawiązujące do COVID-19 wiadomości e-mail typu phishing. Zaprojektowali je tak, aby przypominały one pocztę pochodzącą od pracodawcy lub innego zaufanego źródła. Często były one kierowane do liderów biznesowych z różnych branż, próbując naruszyć ich tożsamość, kraść informacje i przekierowywać przelewy. Gdy grupa zaczęła realizować ten mechanizm, e-maile typu phishing zawierały informacje związane z ogólnymi działaniami biznesowymi. Na przykład złośliwe łącze w wiadomości e-mail nosiło tytuł “Raport Q4 – Dec19” – relacjonuje we wpisie blogowym Tom Burt, Corporate Vice President, Customer Security & Trust w Microsoft.
Był to sposób na wykorzystanie obaw finansowych spowodowanych pandemią i nakłonienie ofiar do otwierania złośliwych linków. „Po kliknięciu na nie, ofiary były proszone o przyznanie dostępu do kontrolowanej przez cyberprzestępców złośliwej aplikacji internetowej. W rzeczywistości, cyberprzestępcy uzyskiwali dostęp do konta Microsoft 365 użytkownika” – podkreśla Tom Burt.
Więcej o tym jak dokładnie wyglądały te e-maile, a także o działaniach jakie podjął Microsoft, aby powstrzymać cyberprzestępców przeczytać można we wspomnianym wpisie blogowym Toma Burta: #MicrosoftMówi.
