Datos recientes bevestigen het: suplantación de identidad a través de correo electrónico no es un vector de seguridad para infecciones de malware en bedrijven en Business Email Compromise (BEC) blijft oorzaak número één van financieel verlies puerta internetcriminaliteit en organizaciones. Bij de meeste phishing- es pesca submarina-aanvallen wordt een vals adres gebruikt om te verhullen wie de echte afzender is. Er zijn echter ook geavanceerdere aanvallen waarbij een legitieme e-mailketen wordt «gekaapt» om een phishing-e-mail in te voegen in een bestaand e-mailgesprek. Deze techniek heeft verschillende namen, zoals «responder chain-aanval», «gekaapte email answer chain» y «thread hijack spamming». Onderzoekers van SentinelLabs troffen deze aan in hun análisis reciente van Valak-malware. En dit artikel leggen uit hoe email respuesta chain-aanvallen werken en hoe u zichzelf en uw bedrijf hiertegen kunt beschermen.
¿Cómo funciona la cadena de respuesta de correo electrónico?
Het kapen van een e-mailketen begint met de sobrenombre van een cuenta de correo electrónico. Via een eerdere aanval es gedumpte inloggegevens de technieken zoales relleno de credenciales y rociado de contraseñas krijgen hackers toegang tot een of meer e-mailaccounts. Ze gaan gesprekken volgen om te kijken wat de mogelijkheden zijn om malware of schadelijke links naar een of meer van de deelnemers in een gespreksketen te sturen.
Deze techniek es vooral effectief omdat de ontvangers elkaar al vertrouwen. De dreigingsactor voegt zichzelf nergens als nieuwe deelnemer aan het gesprek toe en probeert ook niet het e-mailadres van iemand anders te vervalsen. In plaats daarvan stuurt hij een schadelijke e-mail vanuit het echte account van een van de deelnemers.
Omdat de aanvallers toegang hebben tot de hele berichtenketen, kunnen ze hun malspambericht precies afstemmen op de context van een lopend gesprek. Hierdoor, en doordat de ontvanger de afzender al vertrouwt, wordt de kans dat het slachtoffer de schadelijke bijlage opent of op een gevaarlijke link klikt, vele malen groter.
Ter illustratie: stel, het account van Sam is gehackt en de aanvaller ziet dat Sam en Carolien (en misschien nog anderen) een nieuwe salescampagne bespreken via e-mail. De aanvaller kan deze context gebruiken om Carolien een schadelijk document te sturen dat betrekking lijkt te hebben op het gesprek dat zij op dat moment met Sam voert.
Om te voorkomen dat de eigenaar van het gehackte account erachter komt wat er uit zijn naam gebeurt, gebruiken hackers vaak een andere inbox om berichten te ontvangen.
El hacker moet hiervoor de regels van de e-mailclient gebruiken om bepaalde berichten van het normale postvak IN om te leiden naar een map waarin de eigenaar van het account waarschijnlijk niet vaak kijkt, zoals de map voor ongewenste e-mail. Als Carolien uit ons voorbeeld de phishing-e-mail van Sam beantwoordt, kan dat antwoord worden omgeleid, zodat de echte Sam het nooit te zien krijgt.
Een hacker die een account heeft overgenomen, kan de instellingen van de e-mailclient ook gebruiken om mails van bepaalde ontvangers door te sturen naar een ander account.
Een andere truc om te zorgen dat de eigenaar van een account geen onraad ruikt, is het maken van een e-mailregel die binnenkomende berichten scant op trefwoorden zoals «phishing», «hack» y «gehackt», en die berichten vervolgens verwijdert of met een standaardbericht beantwoordt. Op die manier wordt voorkomen dat een achterdochtige of bezorgde collega de eigenaar van het account kan waarschuwen met vragen zoals «Ben jij gehackt?» de iets dergelijks.
Welke malwarefamilies gebruiken respuesta cadena-aanvallen?
De eerste cadena de respuesta de correo electrónico-aanvallen zagen nosotros en 2017. En 2018 werd die techniek ook gebruikt in campagnes met de banktrojan Gozi ISFB/Ursnif. En sommige gevallen werd daarbij ook de correspondtieketen zelf vervalst om het echt te laten lijken. En andere gevallen Werden cuentas legítimas gehackt, die vervolgens werden gebruikt om bestaande threads te kapen en valse berichten naar andere ontvangers te sturen.
Schadelijke bijlagen kunnen VBScript y PowerShell gebruiken om via Office-macro’s payloads af te leveren, zoals Emotete, Ursnif en andere loadermalware de troyanos bancarios.
furgoneta onderzoekers SentinelLabs hebben aangetoond hoe Valak-malware complementos especiales gebruikt om inloggegevens te stelen die specifiek zijn bedoeld voor gebruik in email answer chain-aanvallen.
De onderzoekers leggen het zo traje:
“Als je answer chain-aanvallen wilt gebruiken voor je spamcampagnes, heb je uiteraard e-mailgegevens nodig. Aangezien campagnes steeds vaker Valak gebruiken in plaats van Gozi, zien we date er een plug-in wordt toegevoegd voor het stelen van Exchange-gegevens.”
Waarom zijn cadena de respuesta de correo electrónico-aanvallen zo effectief?
Spearphishing en zelfs algemene spam phishing-campagnes worden nog steeds veel gebruikt door actores de amenazasmaar cadena de respuesta de correo electrónico-aanvallen maken het een stuk lastiger voor verdedigers.
En gewone phishingmails staan vaak overduidelijke spel- en grammaticafouten, zoals hieronder.
Bovendien hebben massale spoofing-e-mails vaak een onderwerp of inhoud die voor de meeste ontvangers weinig zinvol is, waardoor mensen meteen op hun hoede zijn.
Bewustwordingtraining y las mejores prácticas para ver el correo electrónico − zoals niet op links klikken, geen bijlagen openen van onbekende afzenders in e-mails van onbekenden niet beantwoorden − kunnen ook bij meer doelgerichte spearphishingaanvallen het risico verkleinen. Cadena de respuesta de correo electrónico Bij-aanvallen ontbreken echter de gebruikelijke elementen die bij de meeste mensen alarmbellen doen rinkelen.
Respuesta de correo electrónico chain-aanvallen zijn meestal zorgvuldig opgesteld, zonder taalfouten. Doordat er een antwoord wordt ingevoegd in een bestaande thread van een legitieme afzender, wordt de geloofwaardigheid veel groter en lopen zelfs de meest voorzichtige en goed gettrainde medewerkers het risico om erin te trappen.
Hoe kunt u een respuesta cadena-aanval voorkomen?
Een goed opgezette respuesta cadena-aanval es vaak moeilijk te herkennen omdat deze vanuit een vertrouwde, legitieme bron komt en de aanvaller over de e-mailgeschiedenis en gesprekscontext beschikt. Het wordt nog eens extra moeilijk als de mail wordt ingevoegd in een lange thread met meerdere, vertrouwde deelnemers.
Toch zijn er verschillende dingen waarop u kunt letten om te voorkomen dat u slachtoffer wordt van dit type fraude.
Responder chain-aanvallen zijn alleen mogelijk met gehackte account. Daarom moeten in de eerste plaats voor alle e-mailaccounts van uw bedrijf de best practices voor beveiliging worden opgevolgd, dat wil zeggen: verificatie met twee of meer factoren, unieke wachtwoorden voor alle accounts en wachtwoorden die minimaal 16 tekens lang zijn. Gebruikers moeten regelmatig de instellingen en e-mailregels van hun eigen e-mailclient controleren om te kijken of er geen berichten worden omgeleid of verwijderd zonder dat zij hier erg in hebben.
Ten tweede moet het gebruik van Office-macro’s waar mogelijk worden beperkt of zelfs helemaal worden verboden. Macro’s zijn niet de enige manier om een apparaat te hacken via schadelijke bijlagenmaar ze vormen nog steeds een veelgebruikte vector de ataque.
Ten derde: kennis es macht. Zorg voor bewustwordingstraining voor al uw gebruikers. Leg aan uw medewerkers uit wat cadena de respuesta de correo electrónico-aanvallen zijn en hoe ze werken. U kunt ze bijvoorbeeld doorverwijzen naar dit artikel. Gebruikers van e-mail moeten zich meer bewust worden van hoe phishingaanvallen werken en hoe de technieken die hackers gebruiken veranderen. Het is essentieel dat mensen begrijpen waarom het zo belangrijk is om nooit zomaar in te gaan op een verzoek om een bijlage te openen of open een link te klikken, ongeacht van wie dat verzoek afkomstig is.
es por último, pero no menos importante moet u ervoor zorgen dat uw endpoints worden beschermd door een moderne, vertrouwde EDR-beveiligingsoplossing die de uitvoering van kwaadaardige code in bijlagen of links kan stoppen voordat die schade kan toebrengen. Otros programas antivirus die werken op based van reputatie en YARA-regels, zijn niet geschikt voor moderne, bestandsloze en polimorfe aanvallen. En het cybersecuritylandschap van vandaag hebt u minimaal een Plataforma de IA automatizada van de volgende generatie nodig.
conclusión
Respuesta de correo electrónico chain-aanvallen zijn een andere vorm van ingeniería social die puerta amenaza actores wordt gebruikt. In tegenstelling tot de echte wereld, waarin de natuurwetten vastliggen, zijn er in de cyberwereld geen regels die niet kunnen worden gewijzigd door de hardware, de software of de gebruiker te manipuleren. Dit geldt echter net zo goed voor de verdedigers als voor de aanvallers. Door alle aspecten van onze cyberomgeving onder controle te houden, kunnen we aanvallen afweren voordat deze plaatsvinden of blijvende schade kunnen toebrengen aan de organisatie. Beveilig uw apparaten, informante uw gebruikers, entrenar uw medewerkers en laat de criminelen een ander doel zoeken.
Relacionado:
La respuesta del gobierno a la masacre escolar anterior – Parte 1 en ¿La respuesta correcta?
Ataques de malware basados en correo electrónico, julio de 2012: Krebs on Security
Kaspersky culpa a la «configuración incorrecta» después de que los clientes reciben un correo electrónico «querido y encantador» – Graham Cluley
