CYBER SECURITY.
CYBER SECURITY.
Websec
Preventie
Inzicht
Cyberlab
De gevolgen van phishing: een cybercrime voorbeeld uit de praktijk
Phishing: inmiddels komt het zoveel voor dat vrijwel elke internetgebruiker er ooit mee in aanraking is gekomen. Gelukkig belanden veel phishingmails in de prullenbak, maar helaas vallen er dagelijks toch nog een hoop bedrijven en particulieren slachtoffer aan phishingpraktijken. Met wat voor gevolgen hebben zij te maken?
4 mei, 2020

De gevolgen van phishing

In dit artikel gaan we dieper in op de eventuele gevolgen van phishing, aan de hand van een cybercrime voorbeeld uit de praktijk. Zo krijgt u een concreet beeld van hoe een aanvaller te werk zou kunnen gaan. Let wel: geen enkele cyberaanval verloopt exact hetzelfde. De gevolgen van phishing variëren flink in omvang.

Alarmerende facturen

Een tijd geleden meldde een organisatie zich bij ons met het vermoeden slachtoffer te zijn van cybercrime. De aanleiding? Een klant die zich meldde met een vraag over een factuur die de organisatie naar eigen weten nooit verstuurd had. Op dit factuur stond een ander rekeningnummer dan dat van de organisatie. Dat zorgde voor nogal wat alarmbellen.

Ons Cyberlab-team is direct op afstand gaan kijken wat er aan de hand was. Want hoe konden deze facturen verstuurd zijn? Hoeveel waren er verstuurd? Het doel van de cybercriminelen was in ieder geval duidelijk: geld verdienen. Daar zijn ze tenslotte bijna altijd op uit. Of dat nu is door data te stelen en door te verkopen, u te chanteren met gijzelsoftware, of – zoals in dit geval – door uw klanten nep-facturen te laten betalen.

Phishing: de bron van deze cyberaanval

Al snel kwamen we erachter dat een Office 365 mailbox van één van de medewerkers was gehackt. We zagen in de logging dat dit hoogstwaarschijnlijk via is phishing gebeurd. Vermoedelijk heeft de medewerker zijn Office 365 wachtwoord ingetypt op een phishingwebsite. Die gegevens waren voor de aanvaller meer dan voldoende.

Iedereen die een klein beetje geïnteresseerd is in cybersecurity stelt nu vast de vraag: waarom was er geen two-factor-authentication aanwezig? Een cybercrimineel heeft tenslotte vrij weinig aan een wachtwoord wanneer deze goed is ingesteld. Ja, de organisatie had medewerkers opgeroepen 2FA aan te zetten. Helaas is dat nooit gebeurd bij het gephishte account.

Het is dan ook altijd belangrijk te controleren of medewerkers beveiligingsmaatregelen naleven. De mens is de grootste kwetsbaarheid op het gebied van cybersecurity: één medewerker die in phishing trapt en uw hele organisatie loopt risico.

De hacker maakte slim gebruik van Office 365 regels

Hoe de aanvaller verder te werk ging? Nadat hij toegang had gekregen tot het Office-account van de medewerker, is hij regels binnen de Office mailbox in gaan stellen. Deze regels geven binnen Office 365 de mogelijkheid uw mailbox te sorteren door automatisch ontvangen mails in bepaalde mapjes te zetten.

In dit geval had de aanvaller een regel zo ingesteld, dat mails van de ingestelde mailadressen niet in de inbox belanden, maar in de map “subscriptions”. Hierdoor zou de rechtmatige eigenaar van het overgenomen Office-account de binnenkomende mails in dat mapje niet zien.

Zo stuurde de hacker ongestoord mails over facturen

Hier wordt ook meteen duidelijk hoe er facturen gestuurd zijn, zonder dat de eigenaar van het account hiervan wist. De aanvaller had namelijk uit naam van de gehackte persoon mails gestuurd over facturen. Alle binnenkomende reacties op de facturen kreeg de legitieme gebruiker niet te zien.

Dus de aanvaller kon gewoon dat gesprek aan gaan met de mensen die facturen “moesten” betalen en overmaken naar het rekeningnummer van de aanvaller. Al deze uitgaande en inkomende mails werden overigens verwijderd door de hacker.

Hackers nemen vaak accounts van medewerkers met financiële functies over. Zij hebben tenslotte het recht om facturen te sturen en ook inzicht in andere financiële zaken. Zo komt het ook voor dat op die manier geheime financiële cijfers worden doorgestuurd naar criminelen zodat ze daarop kunnen inspelen op de beurs.

Alles was te achterhalen dankzij logging

Hoe we hier allemaal achter zijn gekomen? Zoals we al eerder benoemden, hebben we in de logging gezien hoe de inloggegevens zijn gelekt. Hierin zagen we ook wanneer dit precies was gebeurd, vanuit welk land de hacker inlogde en wat hij precies gedaan heeft. Zo kwamen we er ook achter hoe hij de mailbox regels slim heeft ingezet om ongestoord zijn werk te doen. We zijn door die logging zelfs in staat geweest al het verwijderde mailverkeer terug te halen.

Basisbescherming had veel kunnen voorkomen

Opvallend is dat in deze casus veel voorkomen had kunnen worden met basisbescherming. Het geeft maar aan hoe belangrijk een simpele handeling als het instellen van 2FA is. Daarbij heeft de organisatie ook nog eens geluk gehad. Als ze later hadden ingegrepen, waren de gevolgen nog veel omvangrijker geweest.

De username en password van de gehackte gebruiker waren namelijk hetzelfde als die van de active directory (database waar alle gebruikers in zitten). Bedrijven synchroniseren die gegevens vaak, puur voor het gemak. Zo loggen medewerkers met dezelfde gegevens in als waarmee ze ook hun laptop in komen. Dat biedt kansen voor een hacker.

Daarnaast had de organisatie medewerkers VPN toegekend zonder 2FA, als snelle oplossing tijdens de Corona-crisis. Al deze kwetsbaarheden bij elkaar hadden voor een nog grotere hack kunnen zorgen. Gelukkig snel bleek dat de aanvaller niet van deze kwetsbaarheden wist. Hij was in ieder geval niet ingelogd op de VPN. Als de aanvaller meer tijd had gehad, had hij waarschijnlijk wel nog gebruik gemaakt van de VPN.

We hebben direct securitymaatregelen getroffen

Gelukkig hebben we alles kunnen achterhalen en is er veel extra schade voorkomen. We hebben de nodige securitymaatregelen getroffen om ervoor te zorgen dat deze organisatie nooit meer bij ons hoeft aan te kloppen voor ditzelfde noodgeval.

Deze securitymaatregelen varieerden van basisacties als het resetten van het wachtwoord en het afdwingen van 2FA, tot het instellen van een “Honeypot” en nog een aantal andere acties.
Lees meer over e-mail hacks

InsightIDR: een handige tool

Ook heeft de organisatie ervoor gekozen gebruik te maken van InsightIDR. Deze tool slaat alle logs en alarmeringen op. De gevolgen van phishing en andere vormen van cybercrime zijn een stuk eenvoudiger te beheersen met InsightIDR. Sterker nog: dan had de organisatie InsightIDR zo in kunnen stellen dat ze een melding kregen wanneer die regels werden aangemaakt.

De gevolgen van deze phishingactie vielen mee

In dit geval is de schade van deze phishingaanval zeer beperkt gebleven. Maar had deze organisatie niet op tijd ingegrepen, dan was imagoschade zeker een gevolg geweest. Om nog maar te zwijgen over al het geld dat de cybercrimineel in kwestie met deze aanval had verdiend.

Meer weten over basisbescherming en andere manieren om uw organisatie te beschermen tegen phishing of andere vormen van cybercriminaliteit? Neem dan vrijblijvend contact met ons op voor al uw vragen.

Meer weten over phishing en de gevolgen?

Neem vrijblijvend contact met ons op als u vragen hebt over dit onderwerp.

Op de hoogte blijven van ontwikkelingen?

Klik hier om u in te schrijven voor onze nieuwsbrief.

Wij werken met veel plezier o.a. voor