Op jacht naar Office 365 accounts

januari 31, 2019

Sinds op zijn minst afgelopen zomer hebben cybercriminelen e-mails verzonden naar Office 365 gebruikers, in de hoop inloggegevens te kunnen krijgen. Volgens de eerste onderzoekers die deze aanval hebben ontdekt, kan 10% van de gebruikers van de service zo’n e-mail hebben ontvangen.

PhishPoint campagne

De bedrieglijke e-mails lijken op standaard uitnodigingen om samen te werken met SharePoint. De ontvanger wordt gevraagd om een document te openen dat is opgeslagen in OneDrive voor Business. De truc is dat de link in de e-mail daadwerkelijk naar een document in OneDrive voor Business doorverwijst, maar de link is vermomd als een toegangsaanvraag. De link met ‘Toegang tot het document’ onderaan de pagina verwijst het slachtoffer door naar een website van een derde partij, vermomd als de Microsoft Office 365 inlogpagina.

Ondernemingswerkruimten worden als betrouwbaarder gezien dan andere bronnen en gebruikers kunnen de indruk krijgen dat buitenstaanders geen toegang tot de SharePoint services kunnen krijgen, dus volgen ze de link naar de oplichterswebsite blindelings. Als het slachtoffer de inloggegevens invoert op deze site, dan komen deze in handen van de eigenaren van het bestand.

Met deze inloggegevens kunnen de cybercriminelen alle rechten van het slachtoffer verkrijgen, inclusief e-mailtoegang, cloud-opslag en vertrouwelijke bedrijfsinformatie. Vermomd als een ondernemingsaccount kunnen oplichters gevoelige informatie voor concurrenten stelen, malware verspreiden, of namen van werknemers en projectinformatie met spear-phising doeleinden gebruiken.

De methode is sluw, want de e-mailfilters controleren de link in het bericht. En het is nog zuiver ook; het stuurt door naar een document in een werkruimte met een onberispelijke reputatie. Maar door dit document te openen verlaat de gebruiker het rechtsgebied van de filters, waardoor de veiligheid in handen is van de beveiligingsoplossingen die op de computer geïnstalleerd zijn.

Hoe je je bedrijf en werknemers kunt beschermen

Hier volgen enkele tips om de waakzaamheid van werknemers te verhogen en de veiligheid van je bedrijf te vergroten tegen dit soort aanvallen:

  • Vertel je personeel dat Office 365 gebruikt over het bedrog. Het is zeer zeldzaam dat links naar documenten zo spontaan worden verzonden en zonder overleg. Dus voordat je een document zonder uitleg opent, is het raadzaam eerst te overleggen met de persoon die het gestuurd lijkt te hebben.
  • Kijk kritisch naar e-mails van onbekende adressen, ga achter verdachte situaties aan en vertel ook je personeel om dit te doen.
  • Bescherm alle werkstations van werknemers met een endpoint cybersecurity-oplossing. Deze bescherming is van cruciaal belang om dergelijke phishing oplichterij tegen te gaan.