Cyberkriminelle har mange teknikker i arsenalet, og nå rapporterer Microsoft om en ny, skummel trend som selskapet tar så alvorlig at de allerede har gått rettens vei.
Den nye trenden innebærer at ondsinnede aktører benytter seg av villedende, falske domener til å lure ofre til å gi fra seg sensitiv informasjon som kan brukes til blant annet vinningskriminalitet.
Homografe domener
De falske domenene har navn som er nær identiske med legitime domenenavn, men som endrer på kun ett tegn. Eksempelvis byttes bokstaven «o» i Microsoft byttes ut med tallet null, eller en stor «i» byttes ut med liten «L».
Disse domenene brukes til å kommunisere med Microsoft-kunder på en slik måte at kundene tror de kommuniserer med selskapet, men i realiteten er det altså de ondsinnede aktørene som sitter i den andre enden.
Dette skjer gjerne etter at svindlerne allerede har sikret seg data om ansatte i bedrifter som er Microsoft-kunder, og sikret seg tilgang til nettverkene og intern kommunikasjon.
Saken som fikk Microsoft til å starte etterforskningen i dette spesifikke tilfellet var et BEC-angrep (business email compromise) hvor de kriminelle identifiserte en legitim e-postutveksling fra en kompromittert konto tilhørende en Office 365-kunde. Kommunikasjonen handlet om problemer knyttet til en betaling.
Blir deaktivert
Svindlerne utnyttet dette til å sende en e-post fra et av de falske domenene med samme avsendernavn, emnetittel og format som i den legitime utvekslingen, og nesten identisk domenenavn – eneste forskjellen var én endret bokstav.
E-posten inneholdt en falsk melding om at kontoen hadde blitt midlertidig suspendert av finanssjefen inntil betalingen ble gjennomført – en betaling som svindlerne altså ville mottatt i dette tilfellet.
Microsofts etterforskning avslørte at bakmennene i denne saken satt på minst 17 ondsinnede, falske domener som er registrert hos tredjeparter. Selskapet fikk utstedt en rettsordre hos en amerikansk distriktsdomstol, som krever at domeneregistrarer deaktiverer tjenester på domener som brukes til denne type svindel.
Et av problemene har vært at svinderne flytter rundt på den ondsinnede infrastrukturen sin, men den nye rettsordren skal forhåpentligvis gjøre dette vanskeligere.
Microsoft må bygge om Azure for å oppfylle løftet om å isolere kundedata til servere i Europa