• Hoe phishing-fraude Office 365 gebruikt om verzekeringsmaatschappijen aan te vallen

Hoe phishing-fraude Office 365 gebruikt om verzekeringsmaatschappijen aan te vallen

Nieuws

Onze beveiligingsanalisten bij PowerDMARC hebben een nieuwe golf phishingmails ontdekt die gericht zijn op toonaangevende verzekeringsmaatschappijen in het Midden-Oosten.

door Ahona Rudra

Laatst bijgewerkt:
4 leestijd: 4 minuten
Hoe phishing-fraude Office 365 gebruikt om verzekeringsmaatschappijen aan te vallen
Inhoudsopgave-

E-mail is vaak de eerste keuze voor een cybercrimineel als hij een aanval uitvoert, omdat het zo eenvoudig te misbruiken is. In tegenstelling tot brute-force aanvallen die veel rekenkracht vergen, of geavanceerdere methodes die veel vaardigheid vereisen, kan domain spoofing zo eenvoudig zijn als het schrijven van een e-mail waarin iemand anders zich voordoet. In veel gevallen is die 'iemand anders' een belangrijk softwareserviceplatform waarop mensen vertrouwen om hun werk te doen.

Dat is wat er gebeurde tussen 15 en 30 april 2020, toen onze beveiligingsanalisten bij PowerDMARC een nieuwe golf phishing e-mails ontdekten gericht op toonaangevende verzekeringsmaatschappijen in het Midden-Oosten. Deze aanval was slechts een van de vele andere in de recente toename van phishing- en spoofinggevallen tijdens de Covid-19-crisis. Al in februari 2020 ging een andere grote phishing-zwendel zo ver dat hij zich voordeed als de Wereldgezondheidsorganisatie en e-mails stuurde naar duizenden mensen waarin werd gevraagd om donaties voor hulp bij het coronavirus.

 

Belangrijkste Conclusies

  1. E-mailspoofing is een gemakkelijk te misbruiken methode voor cybercriminelen, die vaak gericht is op vertrouwde organisaties.
  2. Recente phishingaanvallen deden zich voor als gerenommeerde diensten en maakten misbruik van het vertrouwen van gebruikers in deze platforms.
  3. Phishing-e-mails kunnen er normaal en legitiem uitzien, waardoor gebruikers ze moeilijk als frauduleus kunnen herkennen.
  4. Domeingebaseerde verificatiemechanismen zoals DMARC zijn essentieel voor de bescherming tegen e-mailspoofing en phishingaanvallen.
  5. Organisaties moeten prioriteit geven aan e-mailbeveiliging om het vertrouwen te behouden en hun reputatie te beschermen tegen cyberbedreigingen.

In deze recente reeks incidenten ontvingen gebruikers van Microsofts Office 365-service wat leek op routinematige update-e-mails over de status van hun gebruikersaccounts. Deze e-mails waren afkomstig van de eigen domeinen van de organisatie en vroegen gebruikers om hun wachtwoorden opnieuw in te stellen of op koppelingen te klikken om meldingen te bekijken.

We hebben een lijst samengesteld van enkele van de e-mailtitels die we hebben gebruikt:

  • Ongebruikelijke aanmeldingsactiviteit voor Microsoft-account
  • U hebt (3) berichten in afwachting van aflevering op uw e-Mail [email protected]* portaal!
  • user@domain U hebt in afwachting zijnde Microsoft Office UNSYNC-berichten
  • Heractiveringsoverzicht voor [email protected]

Vijftien dagen op proefBoek een demo

*accountgegevens gewijzigd voor de privacy van gebruikers

Je kunt ook een voorbeeld bekijken van een e-mailheader die is gebruikt in een gespoofde e-mail die naar een verzekeringsmaatschappij is gestuurd:

Ontvangen: van [kwaadaardige_ip] (helo= kwaadaardig_domein)

id 1jK7RC-000uju-6x

voor [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-handtekening: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Ontvangen: van [xxxx] (port=58502 helo=xxxxx)

door kwaadaardig_domein met esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

Van: "Microsoft account team" 

Naar: [email protected]

Betreft: Microsoft Office Melding voor [email protected] op 4/1/2020 23:46

Datum: 2 apr 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-versie: 1.0

Inhoud-Type: text/html;

charset="utf-8″

Content-Transfer-Encoding: gequoteerd-printbaar

X-anti-misbruik: Deze header is toegevoegd om misbruik op te sporen, voeg het toe bij elke melding van misbruik.

X-anti-misbruik: Primaire hostnaam - kwaadaardig_domein

X-anti-misbruik: Origineel domein - domein.nl

X-anti-misbruik: Originator/Caller UID/GID - [47 12] / [47 12]

X-anti-misbruik: Adres afzender Domein - domein.com

X-Get-Message-Sender-Via: kwaadaardig_domein: authenticated_id: admin@malicious_domain

X-geauthenticeerde afzender: malicious_domain: admin@malicious_domain

X-bron: 

X-bronnen: 

X-bron-dir: 

Received-SPF: fail ( domein van domein.com wijst geen kwaadaardig_ip_adres als toegestane afzender) client-ip= kwaadaardig_ip_adres envelope-from=[email protected]helo=kwaadaardig_domein;

X-SPF-Result: domein van domain.com wijst niet aan kwaadaardig_ip_adres als toegestane afzender

X-Sender-Warning: Omgekeerde DNS-opzoeking mislukt voor kwaadaardig_ip_adres (mislukt)

X-DKIM-status: geen / / domein.com / / /

X-DKIM-status: pass / / kwaadaardig_domein / kwaadaardig_domein / standaard

 

Ons Security Operation Center traceerde de e-mailkoppelingen naar phishing-URL's die gericht waren op Microsoft Office 365-gebruikers. De URL's werden omgeleid naar gecompromitteerde sites op verschillende locaties over de hele wereld.

Als je alleen al naar de titels van deze e-mails kijkt, is het onmogelijk om te zien dat ze zijn verzonden door iemand die het domein van je organisatie spoofed. We zijn gewend aan een constante stroom van werk- of accountgerelateerde e-mails die ons vragen om ons aan te melden bij verschillende online services, zoals Office 365. Domeinspoofing maakt daar misbruik van door hun valse, kwaadaardige e-mails niet van echte te onderscheiden. Zonder een grondige analyse van de e-mail is er vrijwel geen manier om te weten of deze afkomstig is van een betrouwbare bron. En met tientallen e-mails die elke dag binnenkomen, heeft niemand de tijd om elke e-mail zorgvuldig te onderzoeken. De enige oplossing zou zijn om een authenticatiemechanisme te gebruiken dat alle e-mails controleert die vanaf uw domein worden verzonden en alleen die e-mails blokkeert die zijn verzonden door iemand die de e-mail zonder autorisatie heeft verzonden.

Dat verificatiemechanisme heet DMARC. En als een van de toonaangevende leveranciers van e-mailbeveiligingsoplossingen ter wereld hebben wij van PowerDMARC het onze missie gemaakt om u het belang te laten inzien van de bescherming van het domein van uw organisatie. Niet alleen voor uzelf, maar voor iedereen die op u vertrouwt en ervan afhankelijk is dat u veilige, betrouwbare e-mails in hun inbox aflevert, elke keer weer.

Je kunt hier lezen over de risico's van spoofing: https://powerdmarc.com/stop-email-spoofing/

Ontdek hier hoe u uw domein tegen spoofing kunt beschermen en uw merk een boost kunt geven: https://powerdmarc.com/what-is-dmarc/

Laatste berichten van Ahona Rudra (Bekijk alle berichten)
Laatst bijgewerkt:
PowerDMARC werkt samen met CyberSecOn en lanceert nieuwe activiteiten in Australië, Nieuw...cyberseconAli SaqibPowerDMARC verwelkomt Dr. Saqib Ali als nieuw lid van de Adviesraad