Verse phish

In mijn vorige blog artikel heb ik geschreven over “CEO fraude” en de manier waarop de ontvanger in goed vertrouwen precies die actie uitvoeren die de kwaadwillende voor ogen heeft.

Een soortgelijk concept wordt gehanteerd in de onderstaande methodiek, waarvan wij afgelopen week melding ontvingen. Ook hier wordt gebruik gemaakt van het vertrouwen die de gebruiker heeft in de verzender; in dit geval Microsoft. Het doel van de aanvaller is om het e-mailadres en het wachtwoord van de gebruiker te achterhalen om vervolgens met hulp van die credentials e-mail te kunnen versturen vanuit een geldig intern account. Je hoeft niet heel creatief te zijn om te bedenken welke acties iemand kan ondernemen die de beschikking heeft over de inloggegevens van een “beslissingsbevoegde” medewerker… De IT term die deze methodiek heeft gekregen is “spear phishing” of “whaling”.

De start van dit proces begint bij een e-mail waarin, geheel in Microsoft huisstijl, melding wordt gemaakt van het feit dat je Office 365 account suspended is. Heractiveren van je account kan eenvoudig via de link naar de Office 365 portal. De link naar de portal, die ogenschijnlijk identiek is zoals je dagelijks gebruikt. Een klik op de link leidt de gebruiker naar een webpagina waar de gebruiker gevraagd zijn huidige inloggegevens in te voeren. Met de melding dat het account succesvol is geactiveerd is de gebruiker overtuigd dat hij zojuist een noodzakelijke stap heeft ondernomen en weer volledig gebruik kan maken van Office 365. Eind goed, al goed.

Vanaf dit moment heeft de aanvaller volledige toegang over het account en daarmee het postvak van de gebruiker. Een actie die vanaf dat moment veelvuldig wordt gedaan is dat de aanvaller mail regels instelt, waarmee de aanvaller inzicht krijgt in het dagelijks e-mail gebruik. Al snel ontstaat zo een goed beeld met welke interne en externe personen veelvuldig wordt gecommuniceerd. Deze kennis kan in een later stadium uitstekend ingezet worden voor een aanval a- la-carte.

Een tweede scenario is dat de aanvaller ook bij andere interne gebruikers zal proberen het wachtwoord te achterhalen. Dit kan bijvoorbeeld door een mail met attachment te sturen welke de ontvanger zogenaamd kan openen na invoer van gebruikersnaam en wachtwoord. Ook het versturen van een factuur welke via een professioneel ogende portal kan worden opgehaald is een beproefde methode.

Wat u kunt doen

Overeenkomstig met “CEO fraude” is ook hier passend bewustzijn van gebruikers de basis. Bij berichten die afwijken qua vorm en inhoud moet men alert zijn. Bij twijfel niet inhalen.. en niet klikken.

Wat kunnen wij doen

Om te voorkomen dat aanvallers, zelfs in bezit van uw wachtwoord, kunnen inloggen adviseren wij om "meervoudige verificatie" (MFA) op uw office 365 en/of Azure omgeving te laten activeren. MFA zorgt dat uw naast uw wachtwoord ook via een tweede methode moet aantonen dat u de eindgebruiker bent. Hiervoor wordt meestal een mobiele app of het ontvangen van een SMS bericht gehanteerd.

Aanvullend zijn er nog enkele andere technieken beschikbaar die zorgen voor (betere) bescherming tegen spam, phishing, spoofing en andere narigheid die via e-mail uw mailbox probeert binnen te dringen.

Tenslotte biedt Microsoft ook nog een aanvullende dienst die bovenop het standaard niveau van bescherming kan worden geactiveerd. Wij vertellen u graag of Office 365 Advanced Threat Protection het antwoord is op uw (e-mail) probleem.

Naast technisch advies en ondersteuning kunnen wij ook ondersteunen om het bewustzijn bij uw medewerkers te vergroten. Ons team helpt u graag verder!