Tội phạm mạng đứng sau các cuộc tấn công chỉ dựa vào Office 365 để giảm thiểu sự nghi ngờ trên các địa chỉ email lừa đảo mà chúng sử dụng. Những email này mạo danh các nhà điều hành cấp cao để lừa nhân viên của các công ty mà chúng nhắm mục tiêu gửi tiền vào những tài khoản ngân hàng mà kẻ tấn công kiểm soát.
Hơn nữa, là một phần của chiến dịch, những kẻ tấn công sử dụng các tên miền giả mạo được đăng ký trên Wild West Domains (thuộc sở hữu của GoDaddy), tất cả đều bắt trước các trang web của những doanh nghiệp hợp pháp.
Trong một sự cố đã dẫn đến một giao dịch trên toàn cầu trị giá hàng triệu USD, Mitiga phát hiện ra rằng "cuộc tấn công của các tin tặc diễn ra tới vài tháng" và được chuẩn bị rất cẩn thận đồng thời cũng liên quan tới việc "giám sát và thao túng lưu lượng email trước và trong quá trình chuyền khoản".
Tin tặc có thể chặn các liên lạc giữa 2 tổ chức và khi giao dịch bước vào giai đoạn thanh toán, chúng mạo danh các lãnh đạo cấp cao để cung cấp cho người mua các hướng dẫn chuyển khoản mà chúng đã sửa đổi.
Những kẻ tấn công tạo ra một quy tắc chuyển tiếp trong các địa chỉ email của bên bị ảnh hưởng để tất cả các email được tự động gửi tới một hộp thư bên ngoài. Do đó, chúng quan sát được toàn bộ quá trình giao dịch.
Các quy tắc lọc cũng được triển khai để đảm bảo rằng những thông điệp chắc chắn được chuyển tới một thư mục đã được ẩn, giấu các liên lạc từ chủ sở hữu hộp thư và ngăn chặn sự phát hiện cuộc tấn công.
Mitiga cho biết: "Chúng tôi tin rằng tội phạm mạng đã chọn sử dụng Office 365 để nâng cao khả năng thành công của cuộc tấn công nhờ vào độ tin cậy mà chúng có thể tạo ra. Việc sử dụng công nghệ tương tự của tác nhân đe dọa đã giảm nhiều cả mối nghi ngờ và khả năng kích hoạt việc lọc phát hiện các mã độc, thứ cuối cùng khiến cho các email giả mạo lọt qua được".
Công ty bảo mật đã phát hiện ra rằng tội phạm mạng sử dụng tài khoản Office 365 để nhắm mục tiêu vào các tổ chức khác với hơn 150 tên miền giả và 15 tài khoản Office 365 đã được xác định.
Những phát hiện đã được chia sẻ với cơ quan thực thi pháp luật và Microsoft.
Mitiga lưu ý: "Đánh giá chuyên môn của chúng tôi được chia sẻ bởi các nhà chức trách mà chúng tôi cộng tác đã giúp chúng tôi xác định được một chiến dịch BEC mang tính toàn cầu do một hoặc nhiều nhóm tội phạm mạng điều hành. Chúng lợi dụng uy tín của Office 365 để thực hiện những cuộc tấn công thỏa hiệp bằng email đối với các doanh nghiệp"
Theo một báo cáo hồi tháng 2 năm 2020 của Cục điều tra Liên bang (FBI), BEC đã làm gây tổn thất 17 tỷ USD vào năm 2019.