Flod af BEC angreb rammer danske advokat firmaer

25/01/2021 17:14:31

En bande, der har specialiseret sig i komplekse Business Email Compromise (BEC) fraud kampagner, har de seneste uger, målrettet deres beskydninger mod danske virksomheder, og helt specifikt mod advokatbranchen.

Et BEC angreb udføres typisk i flere etaper:

1. Kompromittering af e-mail konti via phishing mod O365 konti
2. Overvågning af e-mails, opsætning af e-mail regler, mv.
3. Eksekvering af selve BEC angrebet ved brug af informationer fra den kompromitterede e-mail konto

Der sendes en e-mail til ofret, som lokker med indholdet af et PDF dokument:

Det pågældende link peger på en URL forkorter under bit.ly som returnerer et HTML dokument der via et javascript laver et popup:

En anden variant åbner denne:

Når ofret klikker OK eller indtaster e-mail adresse, så åbnes der en falsk Office365 login side:

De indtastede data sendes til de it-kriminelle og gemmes eksternt på en server (eksempelvis):
https://roban-stal[.]pl/wp-content/plugins/eeuahla/mfile/resu[fjernet af CSIS].txt.

De fiskede brugerdata indsamles af de it-kriminelle og misbruges til efterfølgende at logge ind på de kompromitterede Office365 konto.

Hvad er faren ved et BEC angreb?
En kompromitteret e-mail konto, i forbindelse med et BEC angreb, kan misbruges på flere måder; I målrettede impersonerings e-mails, kan man med stor lethed, udarbejde tillidsvækkende indhold, når først de IT-kriminelle har fået adgang til e-mails og kunde/leverandør forhold/e-mails eksempelvis:

- De kan ændre og manipulere indgående faktura e-mails fra leverandører (indgående)
- De kan sende forfalsket faktura e-mails til kunder (udgående)
- De kan spoofe forfalsket faktura e-mail fra leverandører til virksomheden, selv efter den kompromitterede konto er blevet ”renset” (indgående)

Hvad anbefaler vi, at kunder, der er blevet kompromitteret, bør gøre?

- Det er IKKE nok at skifte password, man skal også sikre at alle nuværende sessioner bliver ”logget” af, efter kodeord er skiftet
- Aktiver 2FA
- Der er udelukkende tale om phishing og IKKE malware
- Igangsæt en awarenes kampagne målrettet finansafdelingen (CSIS kan hjælpe med det).
- Adviser kunder/leverandører om, at de IKKE skal ændre kontooplysninger hvis de modtager en opfordring
- Anvend CSIS EFP produkt: http://csis.com/email-fraud-protection/

I forhold til denne hændelse er vi i dialog med berørte selskaber, ligesom vi er i diaglog med sammenslutningen Danske Advokater for at minimere følgeskaderne.

IoCs:
smhthriftstores[.]com
lightwayuae[.]com
roban-stal[.]pl