Direct hulp nodig? Bel of app ons noodnummer.

040-2095020

Phishing

  • 4 mei, 2020

De gevolgen van phishing: een cybercrime praktijkvoorbeeld

Gelukkig belanden veel phishing mails in de prullenbak, maar helaas zijn er dagelijks toch nog een hoop bedrijven en particulieren slachtoffer van een phishing aanval. Met wat voor gevolgen hebben zij te maken?

De gevolgen van phishing aanvallen

In dit artikel gaan we dieper in op de eventuele gevolgen van een phishing aanval, aan de hand van een cybercrime voorbeeld uit de praktijk. Zo krijgt u een concreet beeld van hoe een aanvaller te werk zou kunnen gaan. Let wel: geen enkele phishing aanval verloopt exact hetzelfde. De gevolgen van phishing variëren flink in omvang.
 

Alarmerende facturen

Een tijd geleden meldde een organisatie zich bij ons met het vermoeden slachtoffer te zijn van cybercrime. De aanleiding? Een klant met een vraag over een factuur die de organisatie naar eigen weten nooit verstuurd had. Op dit factuur stond een ander rekeningnummer dan dat van de organisatie. Dat zorgde voor nogal wat alarmbellen.

Ons Cyberlab-team is direct op afstand gaan kijken wat er aan de hand was. Want hoe konden deze facturen verstuurd zijn? Kwam dat door phishing? Of iets anders? En hoeveel waren er verstuurd? Het doel van de cybercriminelen was in ieder geval duidelijk: geld verdienen. Daar zijn ze tenslotte bijna altijd op uit. Of dat nu is door data te stelen en door te verkopen, u te chanteren met gijzelsoftware, of – zoals in dit geval – door uw klanten nep-facturen te laten betalen.
 

 Noodnummer

> Heeft u het vermoeden dat u te maken heeft met een phishing aanval of een ander soort cyberaanval? Bel of app naar 040-2095020 voor directe hulp.

Phishing: de bron van deze cyberaanval

Al snel kwamen we erachter dat een Office 365 mailbox van één van de medewerkers was gehackt. We zagen in de logging dat dit hoogstwaarschijnlijk via een phishing aanval is gebeurd. Vermoedelijk heeft de medewerker zijn Office 365 wachtwoord ingetypt op een phishing website. Die gegevens waren voor de aanvaller meer dan voldoende.

Iedereen die een klein beetje geïnteresseerd is in cyber security stelt nu vast de vraag: waarom was er geen MFA of 2FA aanwezig? Een cybercrimineel heeft tenslotte vrij weinig aan een wachtwoord wanneer deze goed is ingesteld. Ja, de organisatie had medewerkers opgeroepen 2FA aan te zetten. Helaas is dat nooit gebeurd bij het gephishte account.

Het is dan ook altijd belangrijk te controleren of medewerkers beveiligingsmaatregelen naleven. De mens is de grootste kwetsbaarheid op het gebied van cyber security: één medewerker die in phishing trapt en uw hele organisatie loopt risico.
 

De hacker maakte slim gebruik van Office 365 regels

Hoe de aanvaller verder te werk ging? Nadat hij met de phishing actie toegang had gekregen tot het Office-account van de medewerker, is hij regels binnen de Office mailbox in gaan stellen. Deze regels geven binnen Office 365 de mogelijkheid uw mailbox te sorteren door automatisch ontvangen mails in bepaalde mapjes te zetten.

In dit geval had de aanvaller een regel zo ingesteld, dat mails van de ingestelde mailadressen niet in de inbox belanden, maar in de map “subscriptions”. Hierdoor zou de rechtmatige eigenaar van het overgenomen Office-account de binnenkomende mails in dat mapje niet zien.
 

Zo stuurde de hacker ongestoord mails over facturen

Hier wordt ook meteen duidelijk hoe er facturen gestuurd zijn, zonder dat de eigenaar van het account hiervan wist. De aanvaller had namelijk uit naam van het phishing slachtoffer mails gestuurd over facturen. Alle binnenkomende reacties op de facturen kreeg de legitieme gebruiker niet te zien.

Dus de aanvaller kon gewoon dat gesprek aan gaan met de mensen die facturen “moesten” betalen en overmaken naar het rekeningnummer van de aanvaller. Al deze uitgaande en inkomende mails werden overigens verwijderd door de hacker.

Hackers hopen met een phishing aanval vooral de accounts van medewerkers met financiële functies over te nemen. Zij hebben tenslotte het recht om facturen te sturen en ook inzicht in andere financiële zaken. Zo komt het ook voor dat op die manier geheime financiële cijfers worden doorgestuurd naar criminelen zodat ze daarop kunnen inspelen op de beurs.
 

Human Factor

  • 22 feb, 2021

Wat is Social Engineering?

Lees verder

Alles was te achterhalen dankzij logging

Hoe we hier allemaal achter zijn gekomen? Zoals we al eerder benoemden, hebben we in de logging gezien hoe de inloggegevens zijn gelekt. Hierin zagen we ook wanneer dit precies was gebeurd, vanuit welk land de hacker inlogde en wat hij precies gedaan heeft. Zo kwamen we er ook achter hoe hij de mailbox regels slim heeft ingezet om ongestoord zijn werk te doen. We zijn door die logging zelfs in staat geweest al het verwijderde mailverkeer terug te halen.
 

Basisbescherming had veel kunnen voorkomen

Opvallend is dat bij deze phishing aanval veel voorkomen had kunnen worden met basisbescherming. Het geeft maar aan hoe belangrijk een simpele handeling als het instellen van 2FA is. Daarbij heeft de organisatie ook nog eens geluk gehad. Als ze later hadden ingegrepen, waren de gevolgen nog veel omvangrijker geweest.

De username en password van het phishing slachtoffer waren namelijk hetzelfde als die van de active directory (database waar alle gebruikers in zitten). Bedrijven synchroniseren die gegevens vaak, puur voor het gemak. Zo loggen medewerkers met dezelfde gegevens in als waarmee ze ook hun laptop in komen. Dat biedt kansen voor een hacker.

Daarnaast had de organisatie medewerkers VPN toegekend zonder 2FA, als snelle oplossing tijdens de Corona-crisis. Al deze kwetsbaarheden bij elkaar hadden voor een nog grotere hack kunnen zorgen. Gelukkig snel bleek dat de aanvaller niet van deze kwetsbaarheden wist. Hij was in ieder geval niet ingelogd op de VPN. Als de aanvaller meer tijd had gehad, had hij daar waarschijnlijk wel nog gebruik van gemaakt.
 

We hebben direct securitymaatregelen getroffen

Gelukkig hebben we alles kunnen achterhalen en is er veel extra schade voorkomen. We hebben de nodige securitymaatregelen getroffen om ervoor te zorgen dat deze organisatie niet snel meer bij ons hoeft aan te kloppen voor ditzelfde noodgeval.

Deze securitymaatregelen varieerden van basisacties als het resetten van het wachtwoord en het afdwingen van 2FA, tot het instellen van een “Honeypot” en nog een aantal andere acties.
Lees meer over e-mail hacks
 

InsightIDR: een handige tool

Ook heeft de organisatie ervoor gekozen gebruik te maken van InsightIDR. Deze tool slaat alle logs en alarmeringen op. De gevolgen van phishing aanvallen en andere vormen van cybercrime zijn een stuk eenvoudiger te beheersen met InsightIDR. Sterker nog: dan had de organisatie InsightIDR zo in kunnen stellen dat ze een melding kregen wanneer die regels werden aangemaakt.
 

De gevolgen van deze phishing aanval vielen mee

In dit geval is de schade van deze phishing aanval zeer beperkt gebleven. Maar had deze organisatie niet op tijd ingegrepen, dan was imagoschade zeker een gevolg geweest. Om nog maar te zwijgen over al het geld dat de cybercrimineel in kwestie met deze aanval had verdiend.

Meer weten over basisbescherming en andere manieren om uw organisatie te beschermen tegen phishing of andere vormen van cybercriminaliteit? Neem dan vrijblijvend contact met ons op voor al uw vragen.

Inschrijven nieuwsbrief

Lees ook...

Pentest

  • 20 jun, 2024

Wat hacken met stalken gemeen heeft

Hackers maken organisaties en individuen het leven zuur. Ransomware, malware, spyware: ze hebben van alles in huis om apparaten en…

Lees verder

Interview

  • 4 jun, 2024

Paleis Het Loo over cyber security: “De mens heeft een cruciale rol”

Een bezoek aan het 17e eeuwse Paleis Het Loo belooft een onvergetelijke ervaring te zijn die je onderdompelt in het…

Lees verder

Cyber security

  • 30 mei, 2024

Een betere positie in de IT-markt door cyber security samenwerking

IT-leveranciers staan voor de uitdaging om functionele maar ook veilige oplossingen te bieden. Wat doet u met cyber security vraagstukken…

Lees verder

Nieuws

  • 21 apr, 2024

De cyber security wet NIS 2

Digitalisering maakt ongelofelijk veel mogelijk. Overheden realiseren zich alleen ook dat het – met name essentiële – sectoren kwetsbaar maakt….

Lees verder

Uw cyber security bespreken en advies ontvangen?

Afspraak maken

Vragen over cyber security? Bel ons vrijblijvend op:

Afspraak maken

"*" geeft vereiste velden aan

Naam*
Privacy policy*