Wij gebruiken cookies . Akkoord
Erik Loef ExpertsLive

Let op! CEO Fraude to the next level

03 augustus 2018 door Erik Loef

Een paar weken geleden werd ik door een klant, die werkt met Office365 Exchange Online, geconfronteerd met een specifieke hack. Afgelopen week op Microsoft Inspire sprak ik collega's uit het vakgebied die met dezelfde hack te maken hadden gehad. Om deze reden dacht ik dat het tijd was hier een kort blog aan te spenderen.

Wat is er gebeurd?
In alle gevallen begon het met een phising mail naar het slachtoffer in kwestie. In deze mail werd de ontvanger gevraagd op een link te klikken om zijn/haar inloggegevens te verifieren. De link leidde naar een nagemaakte login-pagina van Microsoft 365. Op deze wijze kwam de hacker aan de gebruikersnaam en wachtwoord van het slachtoffer.

Mijn eigen onderzoek heb ik kunnen constateren dat er met de login gegevens vanuit Turkije op de webmail van het slachtoffer (Exchange online web access) in ingelogd. Hier heeft de hacker een regel ingesteld die binnenkomende email direct doorzond naar een specifiek emailadres. Deze weiziging is door een gebruiker moeilijk te constateren.

Vervolgens kan de hacker conversaties voeren vanuit naam van het slachtoffer, zonder dat deze dat in de gaten heeft. Via een online jaarverslag (of misschien via LinkedIn) heeft de hacker vervolgens de financieel eindverantwoordelijke binnen de organisatie van het slachtoffer achterhaald en hem via het mailadres van de CEO benaderd om € 50.000,- over te maken naar een bankrekeningnummer. In een ander geval is op deze manier geen geld maar gevoelige informatie buitgemaakt.

Gelukkig kreeg in beide gevallen de benaderde collega argwaan en heeft contact met ons opgenomen om te vragen wat er aan de hand was. In dit geval geen gevolgschade dus, maar voorkomen is beter dan genezen.

Hoe het risico op deze vorm van fraude te verkleinen?
Uiteraard zou een vorm van Multi Factor Authenticatie het de hacker in bovengenoemde gevallen onmogelijk gemaakt hebben om online in te loggen op de webmail van het slachtoffer. Dit is echter een maatregel die niet eenvoudig en op korte termijn binnen een organisatie is in te voeren.

Voor sneller resultaat hebben we in dit geval de volgende maatregelen genomen voor al onze klanten:

  1. Onmogelijk gemaakt om via Exchange Online Web Access (Webmail) regels in te stellen.

  2. 'Auditing' aangezet
    Erg handig wanneer je wilt onderzoeken wie, wanneer en vanuit waar een mailbox raadpleegt en wat deze persoon daarin doet

    Powershell:
    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditEnabled $true
    Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditOwner @{Add=”MailboxLogin”,”HardDelete”,”SoftDelete”}

    Dit commando vuur je af, iedere keer wanneer ene nieuwe mailbox wordt aangemaakt. Dit is te automatiseren met Azure Automation. Ronni Pedersen heeft er een blog over geschreven: https://www.ronnipedersen.com/2017/07/29/automate-mailbox-auditing-office-365/

  3. Blokkeer het doorsturen naar externe e-mailadressen
    Maak een Transport regel die auto-forward blokkeert naar externe domeinen.

Vragen of opmerkingen naar aanleiding van bovenstaand stuk? Let me know! eloef@proxsys.nl

Delen via

Altijd en overal Ongestoord en ongemerkt veilig werken

Proxsys werkt met deze partners