Cybersecurity-experts hebben te maken gehad met een 'game-changing' phishing-regeling

Een recente cyberaanval werd "game-changing" genoemd - bewoordingen die je duidelijk niet elke dag ziet. Wat maakt die specifieke phishing-aanval echter zo indrukwekkend?

De aanval werd gedetailleerd en geanalyseerd door beveiligingsonderzoeker Craig Hays in een Medium-artikel. Het begon allemaal met de gebruikelijke waarschuwingen voor phishingaanvallen die beveiligingsbedrijven van klanten ontvangen. Echter, terwijl het vroege onderzoek aan de gang was, begonnen minuten na de eerste melding meer rode lampjes te knipperen omdat steeds meer e-mailaccounts van dezelfde organisatie gecompromitteerd bleken te zijn.

De gehackte e-mailaccounts verstuurden ongewoon grote hoeveelheden uitgaande e-mail, waardoor de waarschuwingsmechanismen werden geactiveerd. Ze werden benaderd vanaf ongebruikelijke locaties over de hele wereld en pompten veel meer e-mails uit dan normaal. Het probleem waar het beveiligingsteam echter tegenaan liep, was dat er geen duidelijke indicatie was van de aanvankelijke aanvalsvector - er waren geen van de gebruikelijke waarschuwingssignalen die duiden op een succesvolle phishingpoging - geen inkomende e-mail van onbekende adressen, niets.

Het gevaar van vertrouwdheid

Het bleek dat de phishing-e-mails inderdaad niet afkomstig waren van verdachte of onbekende adressen. Ze werden verzonden als antwoordberichten op echte, legitieme e-mails. Het simpele feit dat de kwaadaardige phishing-links verborgen waren in e-mails die werden ontvangen van wat leek op bekende bronnen.

Het mechanisme achter de aanval was een geavanceerde bot. Zodra de inloggegevens van een e-mail op het aangevallen netwerk waren gestolen, ontving de bot de aanmeldingsgegevens, logde hij in op het gecompromitteerde account en begon hij de inkomende e-mail te doorzoeken die de afgelopen dagen was binnengekomen. Elke unieke e-mailketen die op deze manier werd ontdekt, ontving een antwoord van de bot met een bericht dat de links bevatte naar het phishing-portaal dat door de criminelen was opgezet. Met name de boeven hadden voldoende algemene bewoordingen bedacht dat het klikken op het bijgevoegde nepdocument nooit te vreemd of misplaatst leek.

Dit betekent dat het phishing-bericht dat door de bot werd verzonden het adres, de oorspronkelijke onderwerpregel van de gespreksketen en alle eerdere communicatie bewaarde, waardoor het aan de oppervlakte ongelooflijk geloofwaardig en betrouwbaar werd, veel meer dan elke poging tot phishing verzonden door een onbekend adres. dat onmiddellijk waarschuwingslichten activeert, zelfs voor onervaren gebruikers.

Een wormachtige phishing-malware

Het feit dat de bot zich gedroeg als een worm en zich verspreidde over de e-mailnetwerken van het bedrijf door inboxen te scannen en zijn geloofwaardige phishing-aas te sturen, is veelzeggend. Deze manier van voortplanten maakte het bijzonder moeilijk om met de dreiging om te gaan. Ten slotte werd een patroon in de kwaadaardige URL's ontdekt en door dit toe te voegen aan een automatisch filter kon de verspreiding van de wormachtige phishing-bot echt worden afgeremd en gestopt.

Een ander belangrijk feit dat in het rapport wordt benadrukt, is dat de bot een beetje te gretig was voor zijn eigen bestwil. Als er niet zulke ongewoon grote hoeveelheden uitgaande post waren geweest om de alarmen te laten afgaan, had de bot veel langer onopgemerkt kunnen blijven en veel meer schade hebben aangericht.

De laatste belangrijke afweging van dit incident was dat multi-factor authenticatie moet worden gebruikt wanneer deze beschikbaar is en ook zo snel mogelijk beschikbaar moet worden gemaakt waar dit nog niet mogelijk is.