Managed Detection & Response
Always On – we ensure our customers’ resilience, 24x7x365
Read moreCyber Threat Intelligence
Word-class data, analysis and insights on threat actors and the evolving threat landscape.
Threat Insights Threat Intelligence Feeds Threat Monitors Cyber Defence FeedEmergency Response Retainers
Get a fast response from world-class experts and rapidly reinstate business continuity.
Read moreConsulting
Highly specialized services to identify and remediate complex risks and threats.
AD Health Check Compromise Assessment Emergency Response Penetration TestingWhat’s New?
Emergency Response
Read moreManaged Detection and Response (MDR)
Read moreBrand Protection
Anti-PhishingCyber Threat Intelligence
Threat Insights Threat Intelligence Feeds Threat Monitors Cyber Defence FeedCyber Threat Intelligence
Threat MonitorsManaged Detection and Response (MDR)
Read moreEmergency Response Retainers
Read moreConsulting
Emergency ResponseManaged Detection and Response (MDR)
Read moreCyber Threat Intelligence (CTI)
Threat MonitorsEmergency Response
Read moreManaged Detection and Response (MDR)
Read moreBrand Protection
Anti-PhishingCyber Threat Intelligence
Threat Insights Threat Intelligence Feeds Threat Monitors Cyber Defence FeedCyber Threat Intelligence
Threat MonitorsManaged Detection and Response (MDR)
Read moreEmergency Response Retainers
Read moreConsulting
Emergency ResponseManaged Detection and Response (MDR)
Read moreCyber Threat Intelligence (CTI)
Threat Monitors
En bande, der har specialiseret sig i komplekse Business Email Compromise (BEC) fraud kampagner, har de seneste uger, målrettet deres beskydninger mod danske virksomheder, og helt specifikt mod advokatbranchen.
Et BEC angreb udføres typisk i flere etaper:
1. Kompromittering af e-mail konti via phishing mod O365 konti
2. Overvågning af e-mails, opsætning af e-mail regler, mv.
3. Eksekvering af selve BEC angrebet ved brug af informationer fra den kompromitterede e-mail konto
Der sendes en e-mail til ofret, som lokker med indholdet af et PDF dokument:
Det pågældende link peger på en URL forkorter under bit.ly som returnerer et HTML dokument der via et javascript laver et popup:
En anden variant åbner denne:
Når ofret klikker OK eller indtaster e-mail adresse, så åbnes der en falsk Office365 login side:
De indtastede data sendes til de it-kriminelle og gemmes eksternt på en server (eksempelvis):
https://roban-stal[.]pl/wp-content/plugins/eeuahla/mfile/resu[fjernet af CSIS].txt.
De fiskede brugerdata indsamles af de it-kriminelle og misbruges til efterfølgende at logge ind på de kompromitterede Office365 konto.
Hvad er faren ved et BEC angreb?
En kompromitteret e-mail konto, i forbindelse med et BEC angreb, kan misbruges på flere måder; I målrettede impersonerings e-mails, kan man med stor lethed, udarbejde tillidsvækkende indhold, når først de IT-kriminelle har fået adgang til e-mails og kunde/leverandør forhold/e-mails eksempelvis:
- De kan ændre og manipulere indgående faktura e-mails fra leverandører (indgående)
- De kan sende forfalsket faktura e-mails til kunder (udgående)
- De kan spoofe forfalsket faktura e-mail fra leverandører til virksomheden, selv efter den kompromitterede konto er blevet ”renset” (indgående)
Hvad anbefaler vi, at kunder, der er blevet kompromitteret, bør gøre?
- Det er IKKE nok at skifte password, man skal også sikre at alle nuværende sessioner bliver ”logget” af, efter kodeord er skiftet
- Aktiver 2FA
- Der er udelukkende tale om phishing og IKKE malware
- Igangsæt en awarenes kampagne målrettet finansafdelingen (CSIS kan hjælpe med det).
- Adviser kunder/leverandører om, at de IKKE skal ændre kontooplysninger hvis de modtager en opfordring
- Anvend CSIS EFP produkt: http://csis.com/email-fraud-protection/
I forhold til denne hændelse er vi i dialog med berørte selskaber, ligesom vi er i diaglog med sammenslutningen Danske Advokater for at minimere følgeskaderne.
IoCs:
smhthriftstores[.]com
lightwayuae[.]com
roban-stal[.]pl
Stay informed.
Get our Cyber Bytes!