I en ny undersøgelse viser forskere fra Barracuda Networks, hvordan angribere kan misbruge indbakkeregler, når de først har fået adgang til en e-mailkonto, og dermed undgå at blive opdaget, mens de stjæler oplysninger fra en virksomheds netværk. Denne type angreb er afhængig af, at ofrene ikke ser sikkerhedsadvarsler – og at angriberen arkiverer udvalgte beskeder i diskrete mapper, som offeret ikke bemærker.
Misbrug af reglerne for e-mail-indbakken er en smart og effektiv taktik, der sker i det skjulte.
Det er nemt at udføre, når en angriber først har fået adgang til en konto, siger Prebh Dev Singh, chef for Email Protection Product Management hos Barracuda.
Selvom værktøjer til e-maildetektering har udviklet sig, og maskinlæring har gjort det lettere at få øje på mistænkelige regler, viser Barracudas undersøgelse, at cyberkriminelle fortsætter med at angribe virksomheder på denne måde. Manipulerede regler kan derfor være en alvorlig trussel mod deres data og andre aktiver.
Da det er en teknik, der bruges efter at en konto er blevet overtaget, er det et sikkert tegn på, at du har en angriber i din netværk. "Det betyder, at der er behov for øjeblikkelig handling for at få dem ud," siger Peter Graymon, chef for Barracuda Networks i de nordiske lande.

Når en angriber har fået adgang til en e-mailkonto, for eksempel via phishing eller ved at bruge stjålne loginoplysninger, kan de oprette en eller flere automatiserede e-mailregler, der giver dem mulighed for at fortsætte med at få adgang til postkassen uden at blive opdaget. Dette kan bruges til en række ondsindede formål, herunder:
- at stjæle oplysninger eller penge og forsinke opdagelsen. Angribere kan indstille en regel til at videresende alle e-mails, der indeholder følsomme og potentielt lukrative søgeord såsom "betaling", "faktura" eller "fortroligt", til en ekstern adresse.
- at skjule specifikke indgående e-mails, f.eks. sikkerhedsadvarsler, ved at flytte sådanne beskeder til sjældent brugte mapper, markere e-mails som læst eller blot slette dem.
- at overvåge angriberens aktiviteter og indsamle oplysninger om ham (eller virksomheden), der kan bruges som led i yderligere angreb.
- for såkaldt CEO-svindel (BEC) oprette en regel, der sletter alle indgående e-mails fra en bestemt kollega, såsom økonomidirektøren (CFO). Dette giver angribere mulighed for at udgive sig for at være økonomidirektøren og sende falske e-mails til kolleger for at overbevise dem om at overføre penge til en bankkonto, der kontrolleres af angriberne.
Hvis den misbrugte regel ikke opdages, fortsætter den med at gælde, selvom offerets adgangskode ændringer, eller hvis du aktiverer multifaktorgodkendelse, implementerer andre strenge politikker for betinget adgang, eller hvis computeren genopbygges. Så længe reglen forbliver gældende, risikerer den at blive en effektiv værktøj for angriberen.
Læs mere her »








