E-mailoplichters ontwikkelen zich: zo beschermt u zichzelf
Inhoudsopgave:
Cybercriminelen rammelen voortdurend aan de deur van bedrijven, maar weinig aanvallen zijn zo sluw en schaamteloos als Business Email Compromise (BEC). Deze social engineering-aanval gebruikt e-mail als toegangspoort tot een organisatie, waardoor aanvallers slachtoffers kunnen oplichten en bedrijfsgeld kunnen afhandig maken.
BEC-aanvallen maken vaak gebruik van e-mailadressen die lijken op adressen van het eigen bedrijf van het slachtoffer of van een vertrouwde partner, zoals een leverancier. Deze domeinen zijn vaak verkeerd gespeld of gebruiken verschillende tekensets om domeinen te genereren die lijken op een vertrouwde bron, maar die kwaadaardig zijn.
Oplettende medewerkers kunnen deze kwaadaardige adressen herkennen en e-mailsystemen kunnen ze afhandelen met behulp van e-mailbeveiligingstools zoals het Domain-based Message Authentication, Reporting and Conformance (DMARC) e-mailauthenticatieprotocol. Maar wat als een aanvaller een domein kan gebruiken dat iedereen vertrouwt?
Wanneer betrouwbare bronnen niet te vertrouwen zijn
Cybersecuritybedrijf Guardz Recent ontdekt aanvallers die precies dat doen. Op 13 maart publiceerde het een analyse van een aanval die gebruikmaakte van de cloudbronnen van Microsoft om een BEC-aanval overtuigender te maken.
Aanvallers gebruikten de eigen domeinen van het bedrijf en profiteerden van onjuiste configuraties van tenants om de controle over te nemen van legitieme gebruikers. Aanvallers kregen controle over meerdere M365-tenants binnen de organisatie, door er een aantal over te nemen of hun eigen tenants te registreren. De aanvallers maakten beheerdersaccounts aan voor deze tenants en stelden hun eigen regels voor het doorsturen van e-mail in.
Vervolgens misbruiken ze een Microsoft-functie die de naam van een organisatie weergeeft en gebruiken deze om een frauduleuze transactiebevestiging in te voegen, samen met een telefoonnummer om te bellen voor een terugbetalingsverzoek. Deze phishing-sms komt door het systeem heen omdat traditionele e-mailbeveiligingstools de naam van de organisatie niet scannen op bedreigingen. De e-mail komt in de inbox van het slachtoffer terecht omdat het domein van Microsoft een goede reputatie heeft.
Wanneer het slachtoffer het nummer belt, doet de aanvaller zich voor als een klantenservicemedewerker en probeert hem of haar te overtuigen malware te installeren of persoonlijke gegevens te verstrekken, zoals inloggegevens.
Een toenemende golf van BEC-aanvallen
Deze aanval benadrukt het aanhoudende spook van BEC-aanvallen, die in de loop der tijd steeds ernstiger zijn geworden. De meest recente (2024) gegevens van de FBI gerapporteerd $55.5 mrd aan wereldwijde BEC-verliezen tussen 2013 en 2023 – een stijging ten opzichte van bijna $51 miljard het voorgaande jaar gerapporteerd.
Het is ook niet de eerste keer dat BEC- en phishingaanvallen gericht zijn op Microsoft 365-gebruikers. In 2023, onderzoekers bekend de snelle opkomst van W3LL, een phishingkit die specifiek Microsoft 365-accounts in gevaar bracht door multi-factor-authenticatie te omzeilen.
Wat u kunt doen
De beste aanpak om BEC-aanvallen te beperken is, net als bij de meeste andere vormen van cyberbeveiliging, een meerlaagse aanpak. Criminelen kunnen weliswaar één beschermingslaag doorbreken, maar de kans is kleiner dat ze meerdere hindernissen overwinnen. Beveiligings- en controlekaders, zoals ISO 27001 en Het cyberbeveiligingsframework van NIST, zijn goede bronnen voor maatregelen om oplichters te ontwijken. Deze helpen kwetsbaarheden te identificeren, e-mailbeveiligingsprotocollen te verbeteren en de blootstelling aan op inloggegevens gebaseerde aanvallen te verminderen.
Technologische maatregelen zijn vaak een nuttig wapen tegen BEC-oplichters. Het gebruik van e-mailbeveiligingsmaatregelen zoals DMARC is veiliger dan niet, maar zoals Guardz aangeeft, zullen ze niet effectief zijn tegen aanvallen via vertrouwde domeinen.
Hetzelfde geldt voor contentfiltering met behulp van een van de vele beschikbare tools voor e-mailbeveiliging. Hoewel het de sluwe techniek voor het insluiten van bedreigingen, die in de aanval van maart werd gemeld, niet zou hebben opgemerkt, is het over het algemeen toch een nuttige maatregel. Geavanceerde contentanalyse die kijkt naar organisatievelden en metadata is optimaal.
Evenzo zijn voorwaardelijke toegangsbeleidsregels een waardevolle manier om sommige BEC-aanvallen te stoppen, waaronder het gebruik van multifactorauthenticatie (MFA). Deze bescherming, die een tweede out-of-band authenticatiemechanisme gebruikt om de identiteit van de gebruiker te bevestigen, is echter niet waterdicht. Omgekeerde proxy-aanvallen, waarbij de aanvaller een tussenliggende server gebruikt om de MFA-referenties van een slachtoffer te verzamelen, zijn welbekend. Een dergelijke aanval vond plaats in 2022 en was gericht op 10,000 organisaties die M365 gebruikten. Gebruik dus MFA, maar vertrouw er niet alleen op.
Krijg medewerkers aan boord
Veel aanvallen worden niet afgeweerd door technische maatregelen, maar door een waakzame medewerker die verificatie van een ongebruikelijk verzoek eist. Het spreiden van beschermingsmaatregelen over verschillende aspecten van uw organisatie is een goede manier om risico's te minimaliseren door middel van diverse beschermingsmaatregelen. Menselijke en organisatorische maatregelen zijn daarom essentieel in de strijd tegen oplichters. Train regelmatig om BEC-pogingen te herkennen en ongebruikelijke verzoeken te verifiëren.
Vanuit organisatorisch perspectief kunnen bedrijven beleid implementeren dat veiligere processen afdwingt bij het uitvoeren van opdrachten met een hoog risico – zoals grote geldtransfers – waar BEC-oplichters vaak op mikken. Scheiding van verantwoordelijkheden – een specifieke controle binnen ISO 27001 – is een uitstekende manier om risico's te beperken door ervoor te zorgen dat er meerdere mensen nodig zijn om een proces met een hoog risico uit te voeren.
Snelheid is essentieel bij het reageren op een aanval die deze verschillende controles wel doorstaat. Daarom is het ook een goed idee om uw incidentrespons te plannen voordat een BEC-aanval plaatsvindt. Maak draaiboeken voor vermoedelijke BEC-incidenten, inclusief coördinatie met financiële instellingen en wetshandhavingsinstanties, die duidelijk beschrijven wie verantwoordelijk is voor welk deel van de respons en hoe deze twee op elkaar inwerken.
Continue veiligheidsbewaking – een fundamenteel principe van ISO 27001 – is ook cruciaal voor e-mailbeveiliging. Rollen veranderen. Mensen vertrekken. Het is cruciaal om goed op de rechten te letten en te letten op nieuwe kwetsbaarheden om gevaren buiten de deur te houden.
BEC-oplichters investeren in de ontwikkeling van hun technieken omdat ze winstgevend zijn. Eén grote oplichterij is al genoeg om de moeite te rechtvaardigen die ze steken in het benaderen van belangrijke leidinggevenden met financiële verzoeken. Het is het perfecte voorbeeld van het dilemma van de verdediger, waarbij een aanvaller maar één keer hoeft te slagen, terwijl een verdediger elke keer moet slagen. Dat zijn niet de kansen die we graag zouden willen, maar het invoeren van effectieve controlemechanismen helpt om ze evenwichtiger in balans te brengen.
