"Vertrouwde" phishingmail aanvallen van derden is de trend

Gepubliceerd op 2 september 2020 om 12:03

"Vertrouwde" phishingmail aanvallen van derden is de trend

Een van de meest voorkomende zorgen van IT-beveiligers en CISO's (Chief Information Security Officer) is de toename van phishingaanvallen afkomstig van gehackte vertrouwde partners en contractpartners.

De aanvallers gebruiken het echte e-mailaccount van het aanvankelijke slachtoffer en bestaande langdurige relaties met jarenlang opgebouwd vertrouwen om gemakkelijker extra slachtoffers te maken.

Hoe bescherm je je organisatie als de phishingmail afkomstig is van iemand die je vertrouwt?

Veel van het traditionele anti-phishing advies mislukt. De algemene aanbeveling "Klik niet op links die afkomstig zijn van vreemde e-mailadressen" werkt niet. Maar hoe verdedig je dan wel tegen deze vorm van cybercrime?

Vertrouwde aanvallen van derden

Het begint allemaal met het in gevaar brengen van het e-mailaccount van een vertrouwde derde partij. Om ervoor te zorgen dat het e-mailaccount van een derde partij wordt overgenomen en misbruikt wordt door aanvallers, moeten de hackers eerst controle krijgen.

Dit kan op verschillende manieren gebeuren, waaronder:

  • Gestolen e-mailreferenties
  • Gecompromitteerd (gehackte) werkstation
  • Gecompromitteerde (gehackte) e-mailserver
  • Gecompromitteerde (gehackte) beheerder referenties
  • OAuth (Aanmeldingsaccount met Open Autorisatie)

Verreweg de twee meest voorkomende manieren uit de bovenstaande lijst zijn 'gecompromitteerde (gehackte) e-mail account referenties' of een 'gecompromitteerd werkstation met een al werkende e-mailclient'.

Inloggegevens, die vaak identiek zijn aan de e-mailgegevens van een slachtoffer, zijn overal op internet te vinden. Er zitten letterlijk meer dan 10 miljard eerder gestolen inloggegevens in een paar bestanden op internet of op het darkweb die wachten op een hacker die probeert deze te misbruiken.

Check

U kunt een snelle online controle uitvoeren met de beruchte HaveIBeenPwned.com- website van Troy Hunt of voor uw hele organisatie in één keer met de gratis tool van KnowBe4's Password Exposure Test .

Het komt nog vaker voor dat mensen hun huidige actieve inloggegevens verliezen door social engineering-aanvallen.

Wist je dat 70% tot 90% van alle kwaadwillende inbreuken te wijten zijn aan 'social engineering'.

Diverse mogelijkheden voor hackers

Zodra de inloggegevens van een slachtoffer zijn verkregen, hebben hackers verschillende methoden om de e-mail en e-mailclient van een gebruiker op afstand te manipuleren.

Er zijn een handvol hackertools, met name Empire PowerShell Post-Exploitation Toolkit , XRulez en SensePost Ruler , waarmee een hacker op een kwaadwillige manier Microsoft Outlook en de Apple Mail-app kan wijzigen en normale script opdracht regelopties kan gebruiken met Mozilla van Linux Thunderbird, zodat kwaadwillende e-mails eenvoudig op afstand kunnen worden verzonden zonder dat er ooit een hacker aanwezig is op de betrokken computer met de e-mailclient.

Het komt zelfs nog vaker voor dat hackers toegang hebben tot de eerder gecompromitteerde computer van een slachtoffer. Ze hebben zelfs geen admin / root-toegang nodig om de e-mailclient van het slachtoffer te configureren, kwaadaardige regels te maken of nieuwe e-mails te verzenden. Als een hacker beheerderstoegang heeft tot een e-mailserver / -service, kan hij hetzelfde doen met de e-mailserver (s) / -service namens elke e-mailgebruiker die de server (s) / services beheren.

Hackers speuren

Hengelaars (phishers) kammen door de e-mailmappen van de inbox en verzonden items van een slachtoffer om te zoeken naar veelbelovende ontvangers van derden en scenario's waarmee het slachtoffer routinematig overeenkomt. Ze zijn vooral geïnteresseerd in het compromitteren van de e-mail van mensen die betalingen verzenden en ontvangen (bijv. Crediteuren, facturering, salarisadministratie, afdelingsmanagers, enz.).

Vervolgens sturen ze een e-mail die ongeveer lijkt op iets dat het slachtoffer eerder naar de vertrouwde derde heeft gestuurd, maar in de e-mail sturen de cybercriminelen een nieuwe factuur mee die  vraagt ​​om een ​​update van de factuur betalingsgegevens, zoals het verzenden van betalingen naar een nieuwe bankrekening, of het verzoek tot wijzigen van een bankrekeningnummer bij de salarisadministratie zodat de hacker iemands salaris ontvangt.

Als ze een manier kunnen vinden om geld buit te maken zullen ze dat doen. De cybercrimineel zal meestal een nieuwe e-mailregel maken die zoekt naar inkomende e-mails die terugkomen van het derde slachtoffer, deze doorstuurt naar de hacker en deze verwijdert van de legitieme ontvanger. Soms krijgen ze een kopie van alle e-mails die naar het oorspronkelijke slachtoffer zijn gestuurd, zodat ze kunnen uitkijken wanneer ze eindelijk ontdekt worden.

E-mailregel als achterdeur

Vaak maakt de hacker een e-mailregel die hem een ​​'achterdeur' geeft naar het systeem van de gebruiker en de hacker hoeft alleen maar een e-mail te sturen met een 'trigger-trefwoord' in de e-mail (bijvoorbeeld Fr0g) dat een kwaadwillende inkomende e-mailregel zoekt om vervolgens een kwaadaardige actie te ondernemen.

Met sommige sleutelwoorden kan de hacker weer in het systeem komen, andere zullen e-mails naar andere slachtoffers sturen en andere kunnen een noodopruiming / indeling van het systeem veroorzaken als de hacker wordt ontdekt. Regels blijven bij e-mailclients, dus zelfs als het slachtoffer zijn wachtwoorden wijzigt of een geheel nieuwe computer krijgt, geven de e-mailregels niets om de wachtwoord wijziging of worden ze gewoon automatisch naar het nieuwe apparaat gerepliceerd.

Hoe verdedigen?

Hoe verdedigen hier tegen? Gebruik 'Twee-staps-verificatie' als dat kan, gebruik sterke wachtwoorden en verander ze minstens één keer per jaar en deel geen wachtwoorden tussen verschillende sites en services. Het kan ook geen kwaad om regelmatig te controleren of uw wachtwoorden bekend zijn gemaakt bij een datalek. Laat hackers niet de enige zijn die dit controleren.

Aanmeldingsaccount met Open Autorisatie

Als de gebruiker een 'aanmeldingsaccount met Open Autorisatie' heeft, zoals de meesten van ons hebben, kan een slachtoffer worden misleid om een ​​hacker alle rechten 'OAuth-machtigingen' te geven. OAuth-phishing houdt in dat een potentieel slachtoffer een document wordt gestuurd, dat de gebruiker bij het downloaden kan vragen om een ​​machtigingsverzoek van een phisher goed te keuren. Het enige dat de gebruiker hoeft te doen om slachtoffer te worden, is op Enter drukken of op de knop Toestaan ​​klikken.

Niet bewust

Ongeacht hoe iemands e-mailaccount en client zijn gehackt, als dit eenmaal is gebeurd, kan een aanvaller phishing-e-mails naar andere vertrouwde ontvangers sturen. Hackers vinden het geweldig dat de meeste mensen zich niet bewust zijn van de populariteit van vertrouwde phishing-aanvallen van derden. Ze zijn miljoenen keren gebruikt en zijn veel succesvoller voor een phisher dan een reguliere phishing- of spearphishing- campagne. En de 'bounty' (beloning) van de hacker is veel hoger per slachtoffer. Dit alles betekent dat phishing door derden in populariteit zal blijven stijgen.

Hoe beschermen tegen "vertrouwde" phishingmails

Om je te beschermen tegen "vertrouwde" phishingmails van derden vind je hier onder enkele tips

  • Zorg ervoor dat iedereen zich bewust is van "vertrouwde" phishingmails van derden

Eerst en vooral is het simpelweg mensen bewust maken van de groeiende dreiging van vertrouwde phishingmails door derden, mensen kunnen zich niet verdedigen tegen een dreiging waarvan ze niet eens weten dat het bestaat.

Als je niet bewust bent (wat de meeste van ons al weten) dat Microsoft je niet proactief belt om je te helpen met een computervirus, dan is de kans groter dat je door deze criminelen wordt opgelicht. Als je weet dat Microsoft dat NOOIT doet, is het veel gemakkelijker om de oplichters meteen het zwijgen op te leggen.

Wanneer u mensen bewust maakt over het bestaan van vertrouwde phishing-aanvallen van derden en hoe ze hier naar moeten kijken op mail en verzoeken via sociale media die afkomstig zijn van huidige zakenpartners en vrienden, kunnen ze zich beter gaan verdedigen.

Zorg ervoor dat u actuele voorbeelden bespreekt met je collega's vanuit de echte wereld van  vertrouwde phishing-aanvallen door derden en informeer hen over OAuth-exploits. Over het algemeen moet je ze relevante feiten geven zodat ze zich bewust worden van de gevaren ter bestrijding van phishing aanvallen.

  • Besteed meer aandacht aan actieverzoeken dan e-mailadressen

Betrouwbare phishing door derden betekent dat ontvangers bijzonder sceptisch moeten zijn over ELK verzoek om een ​​ongebruikelijke of onverwachte actie, zelfs als deze afkomstig is van een vertrouwde zakenpartner.

Medewerkers moeten worden geleerd dat elk verzoek dat financiële transacties of vertrouwelijke acties verwacht gemanipuleerd kunnen zijn. Daarom moeten deze verzoeken sceptisch worden beoordeeld. Ontvangers moeten zich afvragen: "Als ik dit verzoek inwillig en het blijkt oplichting te zijn, kan dit dan van invloed zijn op mij of mijn organisatie?" Als het antwoord "Ja!" is, is het verstandig om eerst uit te zoeken als dit een  legitimiteit verzoek betreft door te verifiëren VOORDAT je het verzoek inwilligt.

  • Bellen

De snelste en eenvoudigste manier om een ​​verzoek te verifiëren en te voorkomen dat u slachtoffer wordt is door simpelweg de aanvrager te bellen op een telefoonnummer dat u al heeft of die u gemakkelijk kunt opzoeken om te verifiëren of het verzoek komt van de echte organisatie die erom vraagt.

Verifieer een verzoek niet door de afzender per e-mail te antwoorden. Hackers hebben vaak het werkstation of de e-mailclient gehackt en verificatie-e-mails onderschept van het tweede slachtoffer. Bel nooit een telefoonnummer dat in de e-mail wordt vermeld om de actie te verifiëren, tenzij het al een geverifieerd legitiem telefoonnummer is.

Hackers veranderen vaak telefoonnummers in e-mails of de e-mailhandtekeningen om te verwijzen naar hun moeilijk te traceren Voice-over-IP-telefoonnummers (bijv. Skype, enz.).  Ze kunnen heel goed worden nagebootst.

  • Pas op voor "echte" nepbedrijven

Wat hiermee bedoelt wordt is dat vele van de meest succesvolle oplichters in feite echte opgerichte bedrijven zijn, gecreëerd met namen die sterk leken op de echte bedrijven. Ze hebben statuten, bankrekeningen (bij echte bankbedrijven), facturering afdelingen, personeel, salarisadministratie en al het andere wat ze nodig hebben om als een echt bedrijf te worden gezien.

Een voorbeeld hier van is, 'cybercriminelen die Facebook en Google voor $ 100 miljoen oplichten met een nepbedrijf' en 'bioscoop keten Pathé die voor 19,2 miljoen euro werd opgelicht door CEO fraude'.

Interessant is dat de eigenaren van deze nepbedrijven meer kans hebben om gepakt, gearresteerd en gevangengezet te worden omdat ze een lang legaal papieren spoor achterlaten en dat weten ze maar het lijkt hen er niet van te weerhouden om deze criminele praktijken te stoppen.

Het belangrijkste wat we hiervan kunnen leren is, dat bedrijven met een fysiek postadres, een administratie afdeling, een salarisafdeling, enzovoort niet betekent dat het bedrijf legitiem is.

Als je het nader bekijkt zijn er meestal al meerdere tekenen van oplichting.

De oplichter moet meestal het personeel (van slachtoffer) overtuigen om bestaande en toekomstige betalingen om te leiden naar het nieuwe bank en rekeningnummer. Dus telkens als iemand u vraagt of uw personeel vraagt ​​om betalingen naar een nieuwe bank en bankrekening te sturen, wees dan zeer achterdochtig. Bel altijd eerst het legitieme bedrijf op een eerder bekend geldig telefoonnummer om dit te verifiëren.

  • Pas op voor 'lange setup-pretexting'

Vele van de meer uitgebreide oplichtingen, begon met schijnbaar onschuldige 'pre-sms'-gesprekken.

Er komt bijvoorbeeld een e-mail van een zakenpartner die u laat weten dat ze over een paar dagen van bank gaan veranderen en de routering registratiegegevens bijwerken.

Het idee is dat ze het slachtoffer alvast "vertrouwd" willen maken met de komende wijzigingen en hun alvast willen waarschuwen en voorbereiden op de komst tot verzoek van het wijzigen van deze gegevens. De meeste phishing-aanvallen van derden proberen dan ook te refereren naar het eerdere bericht om zo vertrouwen te wekken.

Bedenk evengoed dat de criminelen achter dit soort oplichting er alles aan zullen doen om u voor de gek te houden. Tientallen e-mails, meerdere telefoontjes en veel juridische documenten zijn vaak betrokken bij deze oplichting.

  • Doe aangifte bij politie

Het betrekken van politiediensten helpt zelden om de online oplichter te arresteren, vooral als ze uit een ander land komen.

Maar vaak kunnen de lange termijn karakteristieken puzzel stukjes vormen voor het in beeld brengen van de cybercriminelen waardoor politie diensten alsnog kunnen overgaan tot aanhoudingen van verdachten. Doe dus altijd aangifte bij de politie.

  • Waarschuw de 'Original Victim Company'

Het spreekt voor zich dat u de legitieme betrokken partner moet laten weten dat ze gehackt zijn. Doe het indien mogelijk tijdens een telefoongesprek naar een legitiem, bekend telefoonnummer. U wilt oplichters of hackers geen waarschuwingen geven voor het geval ze e-mail controleren, zoals ze vaak doen.

  • Word niet die gehackte derde partij

Zorg ervoor dat u en uw organisatie niet de gehackte partij wordt die vervolgens wordt gebruikt om andere partners in gevaar te brengen.

Informeer uw werknemers en partners over de risico's. Vertel uw partners bij financiële transacties sceptisch te zijn over plotselinge wijzigingen in facturering.

Vertel hen dat ze u op een legitieme telefoon moeten bellen wanneer er om een ​​wijziging in financiële informatie wordt gevraagd.

Maak een geschreven procedure die medewerkers handvaten geven als er zich een verzoeken tot wijziging van rekeningnummers en dergelijke zich voordoet. Stuur ze dit artikel ;-)

Betrouwbare phishing door derden vormt een groeiend risico voor alle organisaties.

Werknemers moeten op de hoogte worden gebracht van dergelijke oplichting er moeten voorbeelden geven worden en verteld worden hoe ze zich kunnen voorbereiden op dergelijke cyberaanvallen.

Bron: knowbe4.com, diverse


«