Barracuda waarschuwt voor het misbruik van inboxregels bij gecompromitteerde accounts. Kwaadwilligen kunnen via deze zogeheten rules ongezien bijvoorbeeld informatie uit het bedrijfsnetwerk wegsluizen, klinkt het in het nieuwste Threat Spotlight-rapport van het securitybedrijf.
‘Het misbruiken van e-mail inboxregels is een effectieve aanvalstactiek die ervoor zorgt dat de aanvaller onzichtbaar blijft en die eenvoudig te implementeren is’, zegt Prebh Dev Singh, bij Barracuda verantwoordelijk voor Email Protection Product Management. Via de rules van een gecompromitteerd account kunnen aanvallers ervoor zorgen dat het slachtoffer geen securitymeldingen ontvangt, berichten opslaan in obscure mappen waar het slachtoffer ze moeilijk terugvindt of mails van een hogergeplaatste verwijderen of manipuleren. ‘Dat stelt oplichters bijvoorbeeld in staat zich voor te doen als een executive om zo gevoelige informatie los te peuteren’.
Serieuze dreiging
‘Hoewel e-maildetectie de laatste jaren steeds geavanceerder is geworden en machine learning het makkelijker maakt om verdachte inboxregels te herkennen, laten onze cijfers zien dat aanvallers de techniek met succes blijven toepassen’, vervolgt Dev Singh. ‘Het creëren van regels met een schadelijk doel is een serieuze dreiging voor de integriteit van de data en de middelen van een organisatie.’
Barracuda benadrukt het gemak waarmee er schade kan worden aangericht. Zodra een e-mailaccount is gehackt, bijvoorbeeld via phishing of met gestolen inloggegevens, kan de aanvaller automatisch e-mailregels instellen om onzichtbaar toegang te houden tot de mailbox. ‘Denk aan een regel om alle mails met gevoelige en potentieel lucratieve sleutelwoorden zoals betaling, factuur of vertrouwelijk door te sturen naar een extern mailadres’, klinkt het.
Fake CFO
Een andere tactiek, is dat specifieke inkomende mails (zoals security alerts) worden verborgen, door ze te verplaatsen naar zelden gebruikte mappen. E-mails kunnen door de aanvaller ook als gelezen worden gemarkeerd of simpelweg worden verwijderd. Als praktijkvoorbeeld noemt Barracuda een aanvaller die zich voordoet als de CFO van het bedrijf, en die ‘collega’s’ via mail overtuigt om geld van de onderneming over te maken naar een bepaalde bankrekening.
‘Als zo’n schadelijke inboxregel niet wordt opgemerkt, blijft deze operationeel, zelfs als het slachtoffer zijn wachtwoord wijzigt, multifactorauthenticatie inschakelt of de computer volledig opnieuw installeert. Zolang de regel in de inbox blijft bestaan, blijft deze effectief’, waarschuwt het securitybedrijf.
De meest effectieve bescherming is preventie: voorkomen dat aanvallers het account kunnen compromitteren. Verder pleit Barracuda voor volledig inzicht op elke actie die wordt ondernomen in de inbox van iedere werknemer, welke regels er worden aangemaakt, en wat er is gewijzigd. Daarvoor bestaan intussen oplossingen die een op AI-gebaseerde bescherming bieden.
Fout opgemerkt of meer nieuws? Meld het hier