Hoe phishingfraude Office 365 gebruikt om verzekeringsmaatschappijen aan te vallen

E-mail is voor een cybercrimineel vaak de eerste keuze bij het lanceren, omdat het zo gemakkelijk is uit te buiten. In tegenstelling tot brute-force aanvallen, die veel rekenkracht vergen, of geavanceerdere methoden die veel vaardigheid vereisen, kan domain spoofing zo eenvoudig zijn als het schrijven van een e-mail waarin men zich voordoet als iemand anders. In veel gevallen is die 'iemand anders' een belangrijk softwareserviceplatform waar mensen op vertrouwen om hun werk te doen.

Dat is wat er gebeurde tussen 15 en 30 april 2020, toen onze beveiligingsanalisten bij PowerDMARC een nieuwe golf van phishingmails ontdekten die gericht waren op toonaangevende verzekeringsmaatschappijen in het Midden-Oosten. Deze aanval was er slechts één van vele andere in de recente toename van phishing- en spoofinggevallen tijdens de Covid-19-crisis. Al in februari 2020 ging een andere grote phishingzwendel zo ver dat hij zich voordeed als de Wereldgezondheidsorganisatie en e-mails stuurde naar duizenden mensen met de vraag om donaties voor hulpverlening in verband met het coronavirus.

In deze recente reeks incidenten ontvingen gebruikers van Microsofts Office 365-dienst wat leek op routine-update-e-mails over de status van hun gebruikersaccounts. Deze e-mails kwamen van de eigen domeinen van hun organisaties en vroegen gebruikers om hun wachtwoorden opnieuw in te stellen of op koppelingen te klikken om in behandeling zijnde meldingen te bekijken.

Wij hebben een lijst samengesteld met enkele van de e-mailtitels die wij hebben gebruikt:

  • Ongebruikelijke aanmeldingsactiviteiten voor Microsoft-accounts
  • U heeft (3) berichten in afwachting van aflevering op uw e-Mail [email protected]* Portaal !
  • [email protected] U heeft hangende Microsoft Office UNSYNC berichten
  • Beknopte kennisgeving van heractivering voor [email protected]

*account details veranderd voor de privacy van gebruikers

U kunt ook een voorbeeld bekijken van een e-mailkopregel die is gebruikt in een vervalste e-mail die naar een verzekeringsmaatschappij is gestuurd:

Ontvangen: van [kwaadaardig_ip] (helo= kwaadaardig_domein)

id 1jK7RC-000uju-6x

voor [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Ontvangen: van [xxxx] (port=58502 helo=xxxxx)

door kwaadaardig_domein met esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

Van: "Microsoft account team" 

Naar: [email protected]

Onderwerp: Microsoft Office Kennisgeving voor [email protected] op 4/1/2020 23:46

Datum: 2 Apr 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Inhoud-Type: text/html;

charset="utf-8″

Inhoud-Transfer-Encoding: geciteerd-printbaar

X-Anti-Abuse: Deze header is toegevoegd om misbruik op te sporen, gelieve deze mee te sturen met elk misbruikrapport

X-Anti-Abuse: Primaire Hostname - kwaadaardig_domein

X-Anti-Abuse: Origineel domein - domein.com

X-Anti-Abuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-Anti-Abuse: Adres afzender Domein - domein.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: [email protected]_domain

X-Authenticated-Sender: kwaadaardig_domein: [email protected]_domein

X-bron: 

X-Source-Args: 

X-bron-Dir: 

Received-SPF: fail ( domein van domain.com wijst niet aan kwaadaardig_ip_adres als toegestane afzender) client-ip= kwaadaardig_ip_adres ; envelope-from=[email protected]; helo=kwaadaardig_domein;

X-SPF-Result: domein van domain.com wijst niet aan kwaadaardig_ip_adres als toegestane afzender

X-Sender-Warning: Reverse DNS lookup mislukt voor kwaadaardig_ip_adres (mislukt)

X-DKIM-Status: geen / / domein.com / / /

X-DKIM-Status: pass / / kwaadaardig_domein / kwaadaardig_domein / standaard

 

Ons Security Operation Center traceerde de e-mailkoppelingen naar phishing-URL's die gericht waren op Microsoft Office 365-gebruikers. De URL's leidden door naar gecompromitteerde sites op verschillende locaties over de hele wereld.

Als je alleen al naar de titels van deze e-mails kijkt, is het onmogelijk te zien dat ze zijn verzonden door iemand die het domein van uw organisatie probeert te vervalsen. We zijn gewend aan een constante stroom van werk- of accountgerelateerde e-mails waarin we worden gevraagd ons aan te melden bij verschillende online services, zoals Office 365. Domein spoofing maakt daar misbruik van door hun valse, kwaadaardige e-mails niet van echt te onderscheiden. Zonder een grondige analyse van de e-mail is het vrijwel onmogelijk om te weten of deze van een betrouwbare bron afkomstig is. En aangezien er elke dag tientallen e-mails binnenkomen, heeft niemand de tijd om ze allemaal zorgvuldig te onderzoeken. De enige oplossing zou zijn om een verificatiemechanisme te gebruiken dat alle e-mails controleert die vanaf uw domein worden verzonden, en alleen die e-mails blokkeert die zijn verzonden door iemand die de e-mail zonder toestemming heeft verzonden.

Dat verificatiemechanisme heet DMARC. En als een van de toonaangevende leveranciers van e-mailbeveiligingsoplossingen ter wereld, hebben wij bij PowerDMARC het tot onze missie gemaakt om u te laten inzien hoe belangrijk het is om het domein van uw organisatie te beschermen. Niet alleen voor uzelf, maar voor iedereen die op u vertrouwt en van u afhankelijk is om veilige, betrouwbare e-mails af te leveren in hun inbox, elke keer weer.

Over de risico's van spoofing kunt u hier lezen: https://powerdmarc.com/stop-email-spoofing/

Ontdek hier hoe u uw domein kunt beschermen tegen spoofing en uw merk een boost kunt geven: https://powerdmarc.com/what-is-dmarc/

/door

Hoe aanvallers het Coronavirus gebruiken om u op te lichten

Terwijl organisaties over de hele wereld liefdadigheidsfondsen opzetten om Covid-19 te bestrijden, wordt een ander soort strijd gevoerd in de elektronische kanalen van het internet. Duizenden mensen over de hele wereld zijn ten prooi gevallen aan email spoofing en covid-19 email scams tijdens de coronavirus pandemie. Het komt steeds vaker voor dat cybercriminelen echte domeinnamen van deze organisaties in hun e-mails gebruiken om legitiem over te komen.

Bij de meest recente oplichtingspraktijken met betrekking tot het coronavirus werd een e-mail, zogenaamd van de Wereldgezondheidsorganisatie (WHO), de wereld rondgestuurd met het verzoek om donaties voor het Solidariteitsfonds. Het adres van de afzender was "[email protected]", waarbij "who.int" de echte domeinnaam van de WHO is. De e-mail bleek een phishing-zwendel te zijn, maar op het eerste gezicht wees alles erop dat de afzender echt was. Het domein behoorde immers toe aan de echte WHO.

doneer responsfonds

Dit is er echter slechts één in een groeiende reeks van phishing-zwendel waarbij e-mails in verband met het coronavirus worden gebruikt om geld en gevoelige informatie van mensen te stelen. Maar als de afzender een echte domeinnaam gebruikt, hoe kunnen we dan een legitieme e-mail onderscheiden van een nepmail? Waarom zijn cybercriminelen zo gemakkelijk in staat om spoofing van e-maildomeinen op zo'n grote organisatie toe te passen?

En hoe komen instanties als de WHO te weten wanneer iemand hun domein gebruikt om een phishing-aanval uit te voeren?

E-mail is het meest gebruikte zakelijke communicatiemiddel ter wereld, maar het is een volledig open protocol. Op zichzelf is er weinig controle op wie welke e-mails verstuurt en van welk e-mailadres. Dit wordt een groot probleem wanneer aanvallers zich vermommen als een vertrouwd merk of een publiek figuur en mensen vragen om hun geld en persoonlijke gegevens te geven. Bij meer dan 90% van alle inbreuken op bedrijfsgegevens in de afgelopen jaren was er op de een of andere manier sprake van e-mail phishing. En e-mail domain spoofing is een van de belangrijkste oorzaken daarvan.

In een poging e-mail te beveiligen zijn protocollen als Sender Policy Framework (SPF) en Domain Keys Identified Mail (DKIM) ontwikkeld. SPF controleert het IP-adres van de afzender aan de hand van een lijst met goedgekeurde IP-adressen, en DKIM gebruikt een versleutelde digitale handtekening om e-mails te beveiligen. Hoewel beide systemen op zich doeltreffend zijn, hebben zij hun eigen tekortkomingen. DMARC, dat in 2012 is ontwikkeld, is een protocol dat zowel SPF- als DKIM-authenticatie gebruikt om e-mail te beveiligen, en een mechanisme heeft dat de domeineigenaar een rapport stuurt wanneer een e-mail de DMARC-validatie niet doorstaat.

Dit betekent dat de domeineigenaar op de hoogte wordt gebracht wanneer een onbevoegde derde een e-mail verstuurt. En van cruciaal belang is dat hij de e-mailontvanger kan vertellen hoe deze ongeauthenticeerde mail moet behandelen: in de inbox laten gaan, in quarantaine plaatsen of direct weigeren. In theorie zou dit moeten voorkomen dat slechte e-mail de inboxen van mensen overspoelt en het aantal phishing-aanvallen verminderen. Waarom doet het dat dan niet?

Kan DMARC Domain Spoofing en Covid-19 Email Scams voorkomen?

E-mailauthenticatie vereist dat afzenderdomeinen hun SPF-, DKIM- en DMARC-records publiceren bij DNS. Volgens een studie had slechts 44,9% van de Alexa top 1 miljoen domeinen een geldig SPF record gepubliceerd in 2018, en maar liefst 5,1% had een geldig DMARC record. En dat terwijl domeinen zonder DMARC-authenticatie bijna vier keer zo veel last hebben van spoofing als domeinen die wel beveiligd zijn. Er is een gebrek aan serieuze DMARC implementatie in het bedrijfslandschap, en het is er niet veel beter op geworden in de loop der jaren. Zelfs organisaties als UNICEF hebben DMARC nog niet geïmplementeerd in hun domeinen, en het Witte Huis en het Amerikaanse Ministerie van Defensie hebben beide een DMARC beleid van p = none, wat betekent dat het niet wordt afgedwongen.

Een enquête, uitgevoerd door deskundigen van Virginia Tech, heeft enkele van de ernstigste punten van zorg aan het licht gebracht van grote bedrijven en ondernemingen die DMARC-authenticatie nog moeten gebruiken:

  1. Moeilijkheden bij de inzet: De strikte handhaving van beveiligingsprotocollen betekent vaak een hoge mate van coördinatie bij grote instellingen, waar ze vaak de middelen niet voor hebben. Daarnaast hebben veel organisaties niet veel controle over hun DNS, waardoor het publiceren van DMARC records nog uitdagender wordt.
  2. De voordelen wegen niet op tegen de kosten: DMARC-authenticatie heeft meestal directe voordelen voor de ontvanger van de e-mail in plaats van de domeineigenaar. Het gebrek aan serieuze motivatie om het nieuwe protocol toe te passen heeft veel bedrijven ervan weerhouden DMARC in hun systemen op te nemen.
  3. Risico van het doorbreken van het bestaande systeem: De relatieve nieuwheid van DMARC maakt het vatbaarder voor onjuiste implementatie, wat het zeer reële risico met zich meebrengt dat legitieme emails niet doorkomen. Bedrijven die afhankelijk zijn van e-mailverkeer kunnen zich dat niet veroorloven, en nemen daarom niet de moeite DMARC in te voeren.

Erkennen waarom we DMARC nodig hebben

Hoewel de bezorgdheid die bedrijven in de enquête uitten duidelijk gegrond is, maakt dit de implementatie van DMARC niet minder noodzakelijk voor e-mailbeveiliging. Hoe langer bedrijven blijven werken zonder een DMARC-geauthenticeerd domein, hoe meer we ons allemaal blootstellen aan het zeer reële gevaar van e-mail phishing aanvallen. Zoals het coronavirus ons heeft geleerd, is niemand veilig om als doelwit te dienen of zich voor te doen als een ander. Zie DMARC als een vaccin - naarmate het aantal mensen dat het gebruikt toeneemt, neemt de kans op een infectie drastisch af.

Er zijn echte, haalbare oplossingen voor dit probleem die de bezorgdheid van de mensen over de DMARC adoptie kunnen wegnemen. Hier zijn er een paar die de implementatie met een grote marge zouden kunnen stimuleren:

  1. Vermindering van frictie bij implementatie: De grootste hindernis voor een bedrijf om DMARC te implementeren zijn de implementatiekosten die ermee gepaard gaan. De economie zit in het slop en middelen zijn schaars. Daarom kondigt PowerDMARC samen met onze industriële partners Global Cyber Alliance (GCA) met trots een tijdelijke aanbieding aan tijdens de Covid-19 pandemie - 3 maanden van onze volledige suite van apps, DMARC implementatie en anti-spoofing diensten, volledig gratis. Zet uw DMARC-oplossing in enkele minuten op en begin nu met het monitoren van uw e-mails met PowerDMARC.
  2. Verbetering van de waargenomen bruikbaarheid: Wil DMARC een grote impact hebben op de beveiliging van e-mail, dan heeft het een kritische massa van gebruikers nodig om hun SPF, DKIM en DMARC records te publiceren. Door DMARC-geauthenticeerde domeinen te belonen met een 'Trusted' of 'Verified' icoontje (zoals bij de promotie van HTTPS bij websites), kunnen domeineigenaren gestimuleerd worden om een positieve reputatie voor hun domein te krijgen. Zodra dit een bepaalde drempel bereikt, zullen domeinen beschermd door DMARC gunstiger worden bekeken dan domeinen die dat niet zijn.
  3. Gestroomlijnde implementatie: Door het eenvoudiger te maken om anti-spoofing protocollen in te zetten en te configureren, zullen meer domeinen instemmen met DMARC authenticatie. Dit kan onder andere worden gedaan door het protocol in een 'monitoring mode' te laten draaien, zodat e-mailbeheerders de impact ervan op hun systemen kunnen beoordelen voordat ze tot volledige implementatie overgaan.

Elke nieuwe uitvinding brengt nieuwe uitdagingen met zich mee. Elke nieuwe uitdaging dwingt ons een nieuwe manier te vinden om ze te overwinnen. DMARC bestaat al enkele jaren, maar phishing bestaat al veel langer. In de afgelopen weken heeft de Covid-19 pandemie het alleen een nieuw gezicht gegeven. Bij PowerDMARC zijn we er om u te helpen deze nieuwe uitdaging aan te gaan. Meld u hier aan voor uw gratis DMARC analyzer, zodat terwijl u veilig thuis blijft voor het coronavirus, uw domein veilig is voor email spoofing.

/door