{"id":25639,"date":"2020-07-07T15:25:35","date_gmt":"2020-07-07T13:25:35","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=25639"},"modified":"2020-07-07T15:25:35","modified_gmt":"2020-07-07T13:25:35","slug":"office-365-credentials-hunt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/office-365-credentials-hunt\/25639\/","title":{"rendered":"De jacht op Office 365-accounts"},"content":{"rendered":"

Door het sterk groeiende aantal mensen dat vanuit huis werkt is ook de interesse van cybercriminelen in Office 365 toegenomen, een van de meest gebruikte cloud-samenwerkingsplatforms.<\/p>\n

Het idee is eenvoudig: cybercriminelen lokken een werknemer van een bedrijf naar een valse Office 365-loginpagina om daar hun inloggegevens in te voeren. Het gaat hier dus eigenlijk om phishing. De specifieke methodes die aanvallers gebruiken om gebruikersnamen en wachtwoorden te verkrijgen vari\u00ebren, maar we beschrijven hier de meest voorkomende trucs.<\/p>\n

Valse Teams-berichten<\/h2>\n

Over het algemeen benadrukken aanvallers bij het verzenden van een e-mailbericht dat eruit moet zien alsof het een Microsoft Teams-melding is de urgentie ervan, in de hoop dat de ontvanger in alle haast geen onregelmatigheden opmerkt. De algemene strekking van zo\u2019n bericht is vaak iets in de trend van een dringende deadline waardoor slachtoffer op de knop \u201cReply in Teams<\/em>\u201d klikt en op een valse inlogpagina belandt.<\/p>\n

\"\"

Vals Teams-bericht. Bericht en loginpagina<\/p><\/div>\n

Als de aanvallers hun huiswerk hebben gedaan, zullen de naam en foto van een echte collega in de melding verschijnen, wat er een beetje uit kan zien als een interne BEC<\/a>-aanval, maar het is vaker zo dat dit een abstract persoon is. De cybercriminelen gaan er vaak vanuit dat de ongerustheid van het slachtoffer over iemand onbekends<\/a> die zo\u2019n dringende melding heeft ervoor zorgt dat ze toch wel op de knop klikken.<\/p>\n

Melding over mislukte verzending<\/h2>\n

Een ander nepprobleem dat de ontvanger een gevoel van urgentie geeft is de melding van een bericht dat zogenaamd niet is afgeleverd, bijvoorbeeld door een authenticatiefout. In dit geval moest het slachtoffer verder klikken om een bericht te zien te krijgen, maar de aanvallers waren lui en niet in staat om een geloofwaardige Office 365-inlogpagina te cre\u00ebren.<\/p>\n

\"\"

Valse melding over mislukte verzending. Bericht en loginpagina.<\/p><\/div>\n

De volgende keer kunnen ze natuurlijk een overtuigender bericht maken, en in dat geval moet de ontvanger terugvallen op andere manieren om phishing te identificeren<\/a>. Het is belangrijk om op te merken dat het juist de verzenders en niet de ontvangers zijn die een melding ontvangen als een bericht niet is afgeleverd \u2014 als de server de bedoelde ontvanger had kunnen identificeren was het bericht immers wel verzonden!<\/p>\n

Melding over volle mailbox<\/h2>\n

Een slachtoffer waarschuwen over ernstige gevolgen \u00a0(in dit geval het vreselijke vooruitzicht van een niet-bezorgd bericht): de melding van een volle mailbox is simpelweg nog een manier om werknemers te overtuigen in alle paniek een fout te maken. De keuze die wordt geboden is om de berichten te verwijderen of te downloaden. De meeste mensen zullen voor die laatste optie kiezen en dus op de knop met \u201cKlik hier\u201d klikken.<\/p>\n

\"Valse

Valse melding over volle mailbox Bericht en loginpagina.<\/p><\/div>\n

U ziet dat de aanvallers in dit geval echt wat moeite hebben gedaan en een paragraaf aan de e-mail hebben toegevoegd over de sociale verantwoordelijkheid van het bedrijf ten tijde van de pandemie, maar ze namen echter niet et moeite om ook maar enigszins overtuigend zakelijk Engels te gebruiken. Het reageren uit paniek kan er echter ook hiervoor zorgen dat mensen dit soort tekenen van frauduleuze communicatie over het hoofd zien.<\/p>\n

Melding over verlopen wachtwoord<\/h2>\n

Het wijzigen van een wachtwoord is heel gebruikelijk. Uw bedrijfsbeleid zou dit regelmatig verplicht moeten stellen, en de beveiligingsafdeling kan dit ook vragen als voorzorgsmaatregel tegen een mogelijk lek. En als u een nieuw wachtwoord instelt, moet u natuurlijk ook het oude wachtwoord invoeren. Daarom zijn verzoeken tot het wijzigen van wachtwoorden ook erg populair onder allerlei soorten phishing-mails.<\/p>\n

\"\"

Valse melding over verlopen wachtwoord. Bericht en loginpagina.<\/p><\/div>\n

Zelfs als u het slordige taalgebruik in de e-mail over het hoofd ziet, zou de loginpagina uw aandacht moeten trekken.<\/p>\n

Hoe zorgt u ervoor dat u hier niet intrapt?<\/h2>\n

Onthoud dat accountgegevens niet alleen de mogelijkheid bieden om e-mails vanaf het adres van de werknemer te verzenden, maar ook toegang bieden tot alle informatie die is opgeslagen in de mailbox. Elke pagina die om aan werk gerelateerde inloggegevens vraagt moet goed onderzocht worden, zelfs als \u2014 vooral als \u2014 het lijkt alsof het iets dringends is. U hebt eigenlijk slechts twee essenti\u00eble adviezen nodig:<\/p>\n