Microsoft добился судебного постановления об удалении нескольких вредоносных «гомоглифных» доменов, которые использовались для выдачи себя за клиентов Office 365 и совершения мошенничества.
В начале этого месяца технологический гигант подал иск после того, как раскрыл деятельность киберпреступников, нацеленных на своих клиентов. После получения жалобы клиента на атаку компрометации корпоративной электронной почты, Microsoft Расследование показало, что неназванная преступная группа создала 17 дополнительных вредоносных доменов, которые затем использовались вместе с украденными учетными данными клиентов для незаконного доступа и мониторинга учетных записей Office 365 в попытке обмануть контакты клиентов.
Microsoft подтвердил в сообщении в блоге, опубликованном в понедельник, что судья в Восточном округе Вирджинии издал постановление суда, требующее от регистраторов доменов отключить обслуживание вредоносных доменов, в том числе «thegiaint.com» и «nationalsafetyconsuiting.com», которые использовались для выдачи себя за другое лицо. своих клиентов.
Эти так называемые «гомоглифические» домены используют сходство некоторых букв для создания ложных доменов, которые кажутся законными. Например, используя прописную «I» и строчную «l» (например, MICROSOFT.COM против MlCROSOFT.COM).
«Они были вместе с украденными учетными данными клиентов для незаконного доступа к учетным записям клиентов, отслеживания трафика электронной почты клиентов, сбора информации о незавершенных финансовых транзакциях и преступного выдачи себя за другое лицо. [Office 365] клиентов, пытаясь обманом заставить своих жертв перевести деньги киберпреступникам », Microsoft говорится в своей жалобе, добавляя, что киберпреступники «причинили и продолжают причинять непоправимый вред Microsoft, его клиентов и общественность ».
Например, в одном случае преступники идентифицировали законный адрес электронной почты из взломанной учетной записи клиента Office 365, ссылающийся на проблемы с оплатой. Используя эту информацию, преступники отправили электронное письмо из гомоглифного домена, используя то же имя отправителя и почти идентичный домен. Они также использовали ту же тему и формат электронного письма из более раннего законного разговора, но ложно заявили, что финансовый директор заблокировал счет и что платеж должен быть получен как можно скорее.
Затем киберпреступники попытались добиться мошеннического банковского перевода, отправив новую информацию о банковском переводе, которая выглядела законной, в том числе с использованием логотипа компании, которую они выдавали за себя.
Microsoft отмечает, что, хотя эти преступники обычно перемещают свою вредоносную инфраструктуру за пределы Microsoft После обнаружения экосистемы приказ, выданный в пятницу, лишает ответчиков возможности передать эти домены другим провайдерам.
«Этот иск также позволит нам уменьшить возможности преступников и, что более важно, получить дополнительные доказательства для дальнейших нарушений в суде и за его пределами», – сказала Эми Хоган-Берни, генеральный директор MicrosoftПодразделение цифровой преступности.
Технический гигант еще не раскрыл личности киберпреступников, ответственных за атаки BEC, но сказал, что «судя по применяемым методам, преступники кажутся финансово мотивированными, и мы считаем, что они являются частью обширной сети, которая, как представляется, базироваться в Западной Африке ». Согласно заявлению, целями операции были преимущественно малые предприятия, работающие в Северной Америке в нескольких отраслях. Microsoft.
Это не в первый раз Microsoft добился судебного постановления об усилении борьбы с киберпреступниками и аналогичными атаками, которые, как показывают исследования, затронули 71% предприятий в 2021 году. В прошлом году суд удовлетворил просьбу технологического гиганта о захвате и установлении контроля над вредоносными веб-доменами, используемыми в крупных компаниях. масштабные кибератаки, нацеленные на жертв в 62 странах с помощью поддельных электронных писем COVID-19.