I en ny studie viser forskere fra Barracuda Networks hvordan angripere kan misbruke innboksregler når de har fått tilgang til en e-postkonto, og dermed unngå å bli oppdaget mens de stjeler informasjon fra et selskaps nettverk. Denne typen angrep er avhengig av at ofrene ikke ser sikkerhetsvarsler – og at angriperen arkiverer utvalgte meldinger i diskrete mapper som offeret ikke legger merke til.
Misbruk av regler for e-postinnboksen er en smart og effektiv taktikk som skjer i det skjulte.
Det er enkelt å utføre når en angriper har fått tilgang til en konto, sier Prebh Dev Singh, leder for Email Protection Product Management hos Barracuda.
Selv om verktøy for e-postdeteksjon har utviklet seg og maskinlæring har gjort det enklere å oppdage mistenkelige regler, viser Barracudas studie at nettkriminelle fortsetter å angripe selskaper på denne måten. Manipulerte regelverk kan derfor være en alvorlig trussel mot deres data og andre eiendeler.
Siden det er en teknikk som brukes etter at en konto har blitt overtatt, er det et sikkert tegn på at du har en angriper i din nettverk. «Dette betyr at det er behov for umiddelbare tiltak for å få dem ut», sier Peter Graymon, leder for Barracuda Networks i de nordiske landene.

Når en angriper har fått tilgang til en e-postkonto, for eksempel gjennom phishing eller ved å bruke stjålne påloggingsinformasjon, kan de sette opp en eller flere automatiserte e-postregler som lar dem fortsette å få tilgang til postkassen uten å bli oppdaget. Dette kan brukes til en rekke ondsinnede formål, inkludert:
- å stjele informasjon eller penger og forsinke oppdagelsen. Angripere kan sette en regel for å videresende alle e-poster som inneholder sensitive og potensielt lukrative nøkkelord som ”betaling”, ”faktura” eller ”konfidensielt” til en ekstern adresse.
- å skjule spesifikke innkommende e-poster, for eksempel sikkerhetsvarsler, ved å flytte slike meldinger til mapper som sjelden brukes, merke e-poster som lest eller ganske enkelt slette dem.
- å overvåke angriperens aktiviteter og samle inn informasjon om ham (eller selskapet) som kan brukes som en del av videre angrep.
- for såkalt administrerende direktørsvindel (BEC), sette opp en regel som sletter alle innkommende e-poster fra en bestemt kollega, for eksempel økonomidirektøren (CFO). Dette lar angripere late som de er økonomidirektøren og sende falske e-poster til kolleger for å overbevise dem om å overføre penger til en bankkonto kontrollert av angriperne.
Hvis den misbrukte regelen ikke oppdages, fortsetter den å gjelde selv om offerets passord endringer eller hvis du aktiverer flerfaktorautentisering, implementerer andre strenge retningslinjer for betinget tilgang, eller hvis datamaskinen bygges opp på nytt. Så lenge regelen forblir på plass, risikerer den å bli en effektiv verktøy for angriperen.
Les mer her »








