Als kwaadwillenden toegang hebben tot een bedrijfsaccount dan struinen ze daar weken of maanden rond.
Toegang verkrijgen ze doordat werknemers wachtwoorden bij meer dan een account gebruiken. Die accountgegevens worden buitgemaakt bij een datalek elders.
Meer dan 33% had aanvallers die langer dan een week op het account bleven.
Dat blijkt uit onderzoek van securitybedrijf Barracuda, dat 159 gehackte accounts onderzocht van 111 organisaties. De onderzoekers bekeken hoe de account was overgenomen, hoelang aanvallers toegang hadden tot de account en hoe de informatie uit de account werd gehaald en gebruikt.
Toegang houden tot accounts
Slechts een klein deel van de accountgegevens (7 procent) werd gebruikt om phishingmails te versturen. De onderzoekers denken dat aanvallers hier niet voor kiezen omdat ze niet gepakt willen worden. “Ze willen toegang houden tot deze accounts. Een andere reden kan zijn dat ze deze accounts niet willen gebruiken. Ze willen alleen maar de toegang verkopen en hebben nog geen koper gevonden.”
93% van de besmette accounts werd niet gebruikt om phishing-aanvallen te verzenden
Onderzoekers denken namelijk dat cybercriminaliteit vaak werk is van specialisten die samenwerken met andere specialisten. “Een groep aanvallers focust op het verkrijgen van accountgegevens, en verkoopt die toegang aan een andere groep cybercriminelen die zich heeft gespecialiseerd in het verder geld verdienen aan die gehackte accounts”, schrijven de onderzoekers.
Niet verder dan de e-mail
In meer dan driekwart van de gevallen kwamen de aanvallers niet verder dan de e-mail. “Dat suggereert dat veel cloudaccounts van organisaties geen toegang bieden tot interessante data of functionaliteiten buiten de mail, of dat aanvallers deze extra informatiebronnen nog moeten aanpassen of benutten.”
Aanvallers hebben alleen toegang gekregen tot e-mailgerelateerde Office 365-toepassingen van besmette accounts
Inbox als archief
Maar er kan ook een andere, mindere positieve reden zijn dat aanvallers niet verder zoeken: mail en inboxes zijn vandaag de dag van grote waarde. Zeker omdat veel werknemers data bewaren in hun inbox en niet verder archiveren. “Eigenlijk is het ook veel makkelijker om informatie in een inbox te zoeken dan in een andere cloudapplicatie”, zeggen de onderzoekers. “Mail bevat een datumstempel en alle historische contextgerelateerde informatie over alle betrokken partijen is er ook te vinden. Met alleen inboxgegevens kunnen aanvallen dus al makkelijk om gerichte aanvallen opzetten of aan gesprekskaping doen.”
