Onderzoekers van McAfee ontdekten een nieuwe phishingaanval die uiterst geraffineerd is opgezet, met een vrij overtuigende e-mail van 'Microsoft', een portal die een voicemail-bericht afspeelt en een nep-portal voor Office 365, die als twee druppels water lijkt op de legitieme portal. Volgens het beveiligingsbedrijf richt de aanval zich op het middenkader en hoger bestuur van organisaties in vrijwel elke sector.
De aanval voltrekt zich in een paar stappen. Eerst krijgen slachtoffers een valse e-mail die van Microsoft afkomstig lijkt, met de boodschap dat de gebruiker een telefoontje heeft gemist. Deze phishingmail doet zich voor als een automatisch bericht. De e-mail bevat een link naar een document online waar het begin van een legitiem klinkend voicemailbericht wordt afgespeeld.
Vervolgens wordt de gebruiker doorgeleid naar een portal die precies lijkt op de Microsoft-pagina die je ziet wanneer je inlogt bij Office 365. Als een slachtoffer dan zijn of haar credentials intikt, en de organisatie geen 2FA gebruikt, heeft de aanvaller toegang tot het account. Na het inloggen wordt de gebruiker doorgeleid naar zijn of haar legitieme Office 365-omgeving, zodat het lijkt alsof er niets kwalijks is gebeurd.
De nepportal die Office 365-gebruikers ertoe verleidt hun wachtwoord op te geven. (Bron: McAfee)
Volgens het beveiligingsbedrijf gebruiken ten minste drie verschillende toolkits die criminelen hanteren om zulke aanvallen op te zetten deze methode nu, wat betekent dat de techniek waarschijnlijk op korte termijn een nieuwe standaardmethode is. De aanval richt zich nu nog op Engelssprekende slachtoffers en +44-nummers, maar die zijn nu al effectief bij Nederlandse bedrijven die zakendoen met Britse bedrijven.
Hoewel de actie zich lijkt te richten op CEO-fraude, wordt hij vrij ongericht afgevuurd op alles wat maar riekt naar management. "Wat deze aanval anders maakt dan andere phishingaanvallen is dat audio wordt gebruikt om een gevoel van urgentie te leveren, zodat slachtoffers sneller op een malafide link klikken", schrijven de onderzoekers. Dat maakt de aanval een effectievere social engineering-truc.
Mogelijk mede omdat dezelfde aanvalsmethode in meerdere toolkits wordt gebruikt, richten criminelen zich op een breed aantal doelwitten. (Bron: McAfee)
Tips van McAfee zijn, behalve de standaardadviezen om wachtwoorden uniek te maken en niet op bijlages te klikken, om tweefactor-authenticatie te gebruiken. Dit maakt gevoeglijk een eind aan zulke credentialverovering, omdat je met deze gegevens nog niet kunt inloggen. Beveiligingsbedrijf SANS wees er eerder in het voorjaar nog op dat 2FA eigenlijk allang de standaarduitrusting zou moeten zijn van bedrijven, maar dat dat in de praktijk nog geregeld uitblijft (zie punt 3 van dit eerdere artikel).
Andere adviezen zijn om op organisatieniveau bijlages in de formaten .html en .htm te blokkeren. Dat doe je door de OwaMailboxPolicy
te wijzigen en de extenies toe te voegen aan blockedFileTypes
. Op deze pagina van Microsoft lees je daar meer over. Ook bevat de uitleg van McAfee enkele IOC's waar je op kunt letten.
Reageer
Preview