In een nieuwe studie laten onderzoekers van Barracuda Networks zien hoe aanvallers misbruik kunnen maken van inboxregels zodra ze toegang hebben tot een e-mailaccount. Zo ontlopen ze detectie en stelen ze informatie van het netwerk van een bedrijf. Dit type aanval is gebaseerd op het feit dat slachtoffers geen beveiligingswaarschuwingen zien, waardoor de aanvaller geselecteerde berichten archiveert in discrete mappen die het slachtoffer niet opmerkt.

Het misbruiken van de regels voor e-mailinboxen is een slimme en effectieve tactiek die heimelijk plaatsvindt.

"Het is eenvoudig te implementeren zodra een aanvaller toegang heeft gekregen tot een account", zegt Prebh Dev Singh, hoofd van Email Protection Product Management bij Barracuda.

Hoewel e-maildetectietools zijn geëvolueerd en machine learning het gemakkelijker heeft gemaakt om verdachte regels te herkennen, blijkt uit het onderzoek van Barracuda dat cybercriminelen blijft bedrijven op deze manier aanvallen. Gemanipuleerde regelgeving kan daarom een ernstige bedreiging vormen voor hun data en andere activa.

Advertentie

"Omdat het een techniek is die wordt gebruikt nadat een account is overgenomen, is het een duidelijk teken dat er een aanvaller in je netwerk zit. Dit betekent dat er onmiddellijk actie moet worden ondernomen om ze eruit te krijgen", aldus Peter Graymon, hoofd van Barracuda Networks in Scandinavië.

Zodra een aanvaller toegang heeft gekregen tot een e-mailaccount, bijvoorbeeld via phishing of met gestolen inloggegevens, kan hij een of meer geautomatiseerde e-mailregels instellen waarmee hij onopgemerkt toegang tot de mailbox kan blijven houden. Dit kan voor diverse kwaadaardige doeleinden worden gebruikt, waaronder:

• om informatie of geld te stelen en detectie te vertragen. Aanvallers kunnen een regel instellen om alle e-mails met gevoelige en potentieel lucratieve trefwoorden zoals "betaling", "factuur" of "vertrouwelijk" door te sturen naar een extern adres.
  
• om specifieke binnenkomende e-mails, zoals beveiligingswaarschuwingen, te verbergen door deze te verplaatsen naar mappen die u zelden gebruikt, door e-mails als gelezen te markeren of door ze gewoon te verwijderen.
  
• om de activiteiten van de aanvaller te monitoren en informatie over hem (of het bedrijf) te verzamelen die gebruikt kan worden voor verdere aanvallen.
  
• voor zogenaamde CEO-fraude (BEC) een regel instellen die alle inkomende e-mails van een specifieke collega, zoals de Chief Financial Officer (CFO), verwijdert. Dit stelt aanvallers in staat zich voor te doen als de CFO en valse e-mails naar collega's te sturen om hen te overtuigen geld over te maken naar een bankrekening die door de aanvallers wordt beheerd.

Als de misbruikte regel niet wordt gedetecteerd, blijft deze van kracht, zelfs als het wachtwoord van het slachtoffer wordt gewijzigd, of als multifactorauthenticatie wordt ingeschakeld, andere strikte voorwaardelijke toegangsregels worden geïmplementeerd of de computer opnieuw wordt opgebouwd. Zolang de regel van kracht blijft, bestaat het risico dat deze een effectieve regel wordt. hulpmiddel voor de aanvaller.

Lees hier meer »