Cybersikkerhedseksperter har stødt på en "spilændrende" phishing-ordning

En nylig cyberangreb blev kaldt "spilændring" - ordlyd, som du naturligvis ikke ser hver dag. Hvad gør dog netop dette phishing-angreb så imponerende?

Angrebet blev detaljeret og analyseret af sikkerhedsforsker Craig Hays i en Medium-artikel. Det hele startede med de sædvanlige phishing-angrebsalarmer, som sikkerhedsselskaber modtager fra kunder. Da den tidlige undersøgelse var i gang, begyndte minutter efter den første rapport imidlertid flere røde lamper at blinke, da et stigende antal e-mail-konti fra den samme organisation kom op som værende kompromitteret.

De hackede e-mail-konti sendte usædvanligt store mængder udgående mail ud, hvilket udløste advarselsmekanismerne. Der blev adgang til dem fra usædvanlige steder over hele verden og pumpede ud mange flere e-mails end normalt. Problemet, som sikkerhedsteamet stødte på, var imidlertid, at der ikke var nogen klar indikation af den oprindelige angrebsvektor - der var ingen af de sædvanlige advarselsskilte, der signalerer et vellykket phishingforsøg - ingen indgående mail fra ukendte adresser, intet.

Faren for kendskab

Det viste sig, at phishing-e-mails faktisk ikke stammer fra mistænkelige eller ukendte adresser. De blev sendt som svarbeskeder til ægte, legitime e-mails. Den enkle kendsgerning, at de ondsindede phishing-links gemte sig i mail modtaget fra det, der lignede kendte kilder.

Mekanismen bag angrebet involverede en sofistikeret bot. Når en e-mail på det angrebne netværk blev stjålet hans legitimationsoplysninger, modtog boten loginoplysningerne, loggede ind på den kompromitterede konto og begyndte at sigtes gennem indgående mail, der ankom de sidste par dage. Hver unikke e-mail-kæde, der blev opdaget på denne måde, modtog et svar fra boten med en besked, der indeholdt linkene til phishing-portalen oprettet af kriminelle. Især var skurkerne kommet med tilstrækkelig generisk ordlyd til, at klikke på det vedhæftede falske dokument aldrig syntes for mærkeligt eller malplaceret.

Dette betyder, at phishing-beskeden sendt af boten bevarede adressen, samtalekædens originale emnelinje samt al tidligere kommunikation, hvilket gør den utrolig troværdig og pålidelig på overfladen, langt mere end ethvert forsøg på phishing sendt af en ukendt adresse der straks udløser advarselslys, selv for uerfarne brugere.

En ormlignende phishing-malware

Det faktum, at boten fungerede som en orm, der spredte sig på tværs af firmaets e-mail-netværk ved at scanne indbakker og sende dens troværdige phishing-lokkemad er væsentligt. Denne formeringsform gjorde truslen særlig vanskelig at håndtere. Endelig blev der opdaget et mønster i de ondsindede webadresser, og det blev føjet til et automatisk filter, der virkelig kunne bremse og stoppe spredningen af den ormlignende phishing-bot.

En anden vigtig kendsgerning, som rapporten fremhæver, er, at boten var lidt for ivrig til sit eget bedste. Hvis der ikke havde været så usædvanligt store mængder udgående post for at udløse alarmerne, kunne boten have været ubemærket meget længere og forårsaget meget mere skade.

Den sidste vigtige takeaway fra denne hændelse var, at flerfaktorautentificering skulle anvendes, når den var tilgængelig, og også gøres tilgængelig så hurtigt som muligt, hvor det ikke allerede er en mulighed.