Gelukkig belanden veel phishing mails in de prullenbak, maar helaas zijn er dagelijks toch nog een hoop bedrijven en particulieren slachtoffer van een phishing aanval. Met wat voor gevolgen hebben zij te maken?
De gevolgen van phishing aanvallen
In dit artikel gaan we dieper in op de eventuele gevolgen van een phishing aanval, aan de hand van een cybercrime voorbeeld uit de praktijk. Zo krijgt u een concreet beeld van hoe een aanvaller te werk zou kunnen gaan. Let wel: geen enkele phishing aanval verloopt exact hetzelfde. De gevolgen van phishing variëren flink in omvang.
Alarmerende facturen
Een tijd geleden meldde een organisatie zich bij ons met het vermoeden slachtoffer te zijn van cybercrime. De aanleiding? Een klant met een vraag over een factuur die de organisatie naar eigen weten nooit verstuurd had. Op dit factuur stond een ander rekeningnummer dan dat van de organisatie. Dat zorgde voor nogal wat alarmbellen.
Ons Cyberlab-team is direct op afstand gaan kijken wat er aan de hand was. Want hoe konden deze facturen verstuurd zijn? Kwam dat door phishing? Of iets anders? En hoeveel waren er verstuurd? Het doel van de cybercriminelen was in ieder geval duidelijk: geld verdienen. Daar zijn ze tenslotte bijna altijd op uit. Of dat nu is door data te stelen en door te verkopen, u te chanteren met gijzelsoftware, of – zoals in dit geval – door uw klanten nep-facturen te laten betalen.
Noodnummer
> Heeft u het vermoeden dat u te maken heeft met een phishing aanval of een ander soort cyberaanval? Bel of app naar 040-2095020 voor directe hulp.
Phishing: de bron van deze cyberaanval
Al snel kwamen we erachter dat een Office 365 mailbox van één van de medewerkers was gehackt. We zagen in de logging dat dit hoogstwaarschijnlijk via een phishing aanval is gebeurd. Vermoedelijk heeft de medewerker zijn Office 365 wachtwoord ingetypt op een phishing website. Die gegevens waren voor de aanvaller meer dan voldoende.
Iedereen die een klein beetje geïnteresseerd is in cybersecurity stelt nu vast de vraag: waarom was er geen MFA of 2FA aanwezig? Een cybercrimineel heeft tenslotte vrij weinig aan een wachtwoord wanneer deze goed is ingesteld. Ja, de organisatie had medewerkers opgeroepen 2FA aan te zetten. Helaas is dat nooit gebeurd bij het gephishte account.
Het is dan ook altijd belangrijk te controleren of medewerkers beveiligingsmaatregelen naleven. De mens is de grootste kwetsbaarheid op het gebied van cybersecurity: één medewerker die in phishing trapt en uw hele organisatie loopt risico.
De hacker maakte slim gebruik van Office 365 regels
Hoe de aanvaller verder te werk ging? Nadat hij met de phishing actie toegang had gekregen tot het Office-account van de medewerker, is hij regels binnen de Office mailbox in gaan stellen. Deze regels geven binnen Office 365 de mogelijkheid uw mailbox te sorteren door automatisch ontvangen mails in bepaalde mapjes te zetten.
In dit geval had de aanvaller een regel zo ingesteld, dat mails van de ingestelde mailadressen niet in de inbox belanden, maar in de map “subscriptions”. Hierdoor zou de rechtmatige eigenaar van het overgenomen Office-account de binnenkomende mails in dat mapje niet zien.
Zo stuurde de hacker ongestoord mails over facturen
Hier wordt ook meteen duidelijk hoe er facturen gestuurd zijn, zonder dat de eigenaar van het account hiervan wist. De aanvaller had namelijk uit naam van het phishing slachtoffer mails gestuurd over facturen. Alle binnenkomende reacties op de facturen kreeg de legitieme gebruiker niet te zien.
Dus de aanvaller kon gewoon dat gesprek aan gaan met de mensen die facturen “moesten” betalen en overmaken naar het rekeningnummer van de aanvaller. Al deze uitgaande en inkomende mails werden overigens verwijderd door de hacker.
Hackers hopen met een phishing aanval vooral de accounts van medewerkers met financiële functies over te nemen. Zij hebben tenslotte het recht om facturen te sturen en ook inzicht in andere financiële zaken. Zo komt het ook voor dat op die manier geheime financiële cijfers worden doorgestuurd naar criminelen zodat ze daarop kunnen inspelen op de beurs.
Alles was te achterhalen dankzij logging
Hoe we hier allemaal achter zijn gekomen? Zoals we al eerder benoemden, hebben we in de logging gezien hoe de inloggegevens zijn gelekt. Hierin zagen we ook wanneer dit precies was gebeurd, vanuit welk land de hacker inlogde en wat hij precies gedaan heeft. Zo kwamen we er ook achter hoe hij de mailbox regels slim heeft ingezet om ongestoord zijn werk te doen. We zijn door die logging zelfs in staat geweest al het verwijderde mailverkeer terug te halen.
Basisbescherming had veel kunnen voorkomen
Opvallend is dat bij deze phishing aanval veel voorkomen had kunnen worden met basisbescherming. Het geeft maar aan hoe belangrijk een simpele handeling als het instellen van 2FA is. Daarbij heeft de organisatie ook nog eens geluk gehad. Als ze later hadden ingegrepen, waren de gevolgen nog veel omvangrijker geweest.
De username en password van het phishing slachtoffer waren namelijk hetzelfde als die van de active directory (database waar alle gebruikers in zitten). Bedrijven synchroniseren die gegevens vaak, puur voor het gemak. Zo loggen medewerkers met dezelfde gegevens in als waarmee ze ook hun laptop in komen. Dat biedt kansen voor een hacker.
Daarnaast had de organisatie medewerkers VPN toegekend zonder 2FA, als snelle oplossing tijdens de Corona-crisis. Al deze kwetsbaarheden bij elkaar hadden voor een nog grotere hack kunnen zorgen. Gelukkig snel bleek dat de aanvaller niet van deze kwetsbaarheden wist. Hij was in ieder geval niet ingelogd op de VPN. Als de aanvaller meer tijd had gehad, had hij daar waarschijnlijk wel nog gebruik van gemaakt.
We hebben direct securitymaatregelen getroffen
Gelukkig hebben we alles kunnen achterhalen en is er veel extra schade voorkomen. We hebben de nodige securitymaatregelen getroffen om ervoor te zorgen dat deze organisatie niet snel meer bij ons hoeft aan te kloppen voor ditzelfde noodgeval.
Deze securitymaatregelen varieerden van basisacties als het resetten van het wachtwoord en het afdwingen van 2FA, tot het instellen van een “Honeypot” en nog een aantal andere acties.
Lees meer over e-mail hacks
InsightIDR: een handige tool
Ook heeft de organisatie ervoor gekozen gebruik te maken van InsightIDR. Deze tool slaat alle logs en alarmeringen op. De gevolgen van phishing aanvallen en andere vormen van cybercrime zijn een stuk eenvoudiger te beheersen met InsightIDR. Sterker nog: dan had de organisatie InsightIDR zo in kunnen stellen dat ze een melding kregen wanneer die regels werden aangemaakt.
De gevolgen van deze phishing aanval vielen mee
In dit geval is de schade van deze phishing aanval zeer beperkt gebleven. Maar had deze organisatie niet op tijd ingegrepen, dan was imagoschade zeker een gevolg geweest. Om nog maar te zwijgen over al het geld dat de cybercrimineel in kwestie met deze aanval had verdiend.
Meer weten over basisbescherming en andere manieren om uw organisatie te beschermen tegen phishing of andere vormen van cybercriminaliteit? Neem dan vrijblijvend contact met ons op voor al uw vragen.