24/05/23
Компания Microsoft сообщает, что киберпреступники используют домашние IP-адреса жертв в VEC-атаках, чтобы создать видимость локального входа и избежать обнаружения.
VEC-атака — это вид кибермошенничества, при котором злоумышленники используют скомпрометированные или поддельные адреса электронной почты для отправки фальшивых запросов на перевод денег сотрудникам, ответственным за совершение или утверждение платежей, поясняет Securitylab. Хакеры просят перевести деньги на банковские счета, которыми они управляют. По данным ФБР, в 2022 году было зарегистрировано около 22 тысяч жалоб на VEC-атаки, а ущерб от них составил более 2,7 миллиарда долларов.
Одна из последних тактик, которую применяют мошенники, заключается в покупке у специализированных сервисов IP-адресов, соответствующих приблизительному местоположению жертвы. Это позволяет киберпреступникам скрыть истинное происхождение своих попыток входа в почтовые аккаунты, тем самым не вызвав никаких подозрений у системы безопасности.
«Вооружившись локальным IP-адресом и учётными данными потенциальной жертвы, злоумышленники могут существенно затруднить обнаружение своих действий и открыть проход для проведения дальнейших атак», — объясняет Microsoft.
Защитный флаг «Impossible Travel» срабатывает, когда аутентификация в аккаунт выполняется в двух местах за короткий промежуток времени, который не хватит для перемещения из одного места в другое. И если потенциальная жертва не использует в рабочих сценариях VPN-сервис, то это повод обеспокоиться безопасностью учётной записи.
«Домашние IP-адреса, соответствующие местоположениям жертв, предоставляют возможность и шанс для киберпреступников собирать большие объемы скомпрометированных учётных данных и легко получать доступ к аккаунтам», — отмечает Microsoft.
Для предотвращения похожих сценариев атак организациям рекомендуется:
- использовать безопасные решения для электронной почты;
- устанавливать специальные правила электронной почты для блокировки сообщений от сторонних лиц;
- использовать надёжные методы аутентификации;
- внедрять политики аутентификации сообщений на основе домена для защиты от поддельных писем;
- обучать сотрудников распознаванию поддельных писем.
«Попытки злоумышленников провести атаку на бизнес-почту могут принимать различные формы, включая телефонные звонки, текстовые сообщения, электронные письма или сообщения в социальных сетях. Также распространены тактики подделки сообщений с запросами аутентификации и выдачи себя за других лиц или компании», — предупреждает Microsoft.
