Er is een spearphishing aanval aan de gang die het domein Microsoft.com aan het spoofen is om zo e-mails te sturen naar 200 miljoen Microsoft Office 365 gebruikers. Deze bedrijven bevinden zich in belangrijke sectoren zoals financiële diensten, gezondheidszorg, fabricage en nutsbedrijven.
De onderzoekers van Ironscales hebben de campagne ontdekt, omdat duizenden mailboxen van ongeveer 100 van hun klanten ook e-mails hebben ontvangen door de spearphishing campagne. In een rapport van maandag 7 december geeft Lomy Ovadia, de vice president van R&D, aan dat ook andere sectoren het doelwit zijn zoals telecom en verzekeringsbedrijven.
Wat maakt deze aanval anders?
Deze aanval is voornamelijk misleidend, omdat het gebruik maakt van het exact spoofen van het domein. “Dit komt voor wanneer een email die wordt verstuurd van een frauduleus domein dat een exacte match is met het gespooft merk domein,” geeft Ovadia aan in het rapport. Dit betekend dat gebruikers die weten dat ze altijd de domeinnaam van de afzender moeten controleren of deze legitiem is, hier ook in kunnen trappen. Dit komt, omdat de gespoofte domeinnaam Microsoft.com exact overeenkomt en gebruikers hiermee het verschil niet kunnen zien.
De aanval bestaat uit een echt lijkende email die probeert gebruikers over te halen om gebruik te maken van een nieuwe Office 365 functionaliteit die ervoor kan zorgen dat e-mails die per ongeluk als spam of phishing zijn gemarkeerd nog teruggehaald kunnen worden. De berichten komen van de afzender ‘Microsoft Outlook’.
Het fraudeleuze bericht in de email is opgesteld in urgente en zelfs angst zaaiende taal om gebruikers te overtuigen op de kwaadaardige link te klikken zonder te aarzelen. Zoals in het bericht staat zal de link de gebruikers doorsturen naar een security portaal waar gebruikers berichten in quarantaine kunnen reviewen en de juiste actie op nemen. Deze berichten zouden hierin geplaatst zijn door de Exchange Online Protection (EOP) filtering stack, welke sinds september dit jaar beschikbaar is.
Wat gebeurt er als de gebruiker op de link klikt?
Wanneer gebruikers besluiten om op de link te klikken, dan worden ze gevraagd om hun legitieme Office 365 login credentials in te vullen op een neppe inlogpagina die van de aanvallers is. Deze aanvallers verzamelen deze credentials en verkopen deze naar alle waarschijnlijkheid op het dark web, volgens Ironscales.
Een interessant aspect van de campagne is het succes om langs secure email gateway (SEG) controls te komen. Normaal gesproken is het niet moeilijk om exacte domain spoofs te detecteren. In eerder onderzoek geeft Ironscales aan dat ze deze tactiek in minder dan 1 procent van de totale spoofing aanvallen hebben gezien die langs SEGs komen in een jaar tijd.
DMARC
“Zelfs niet Cloud-native en legacy email security tools zijn aardig efficiënt in het stoppen van dit soort aanvallen,” geeft Ovadia aan. De reden dat SEGs traditioneel gezien exacte domein spoofing kunnen voorkomen is, omdat wanneer deze goed geconfigureerd is, deze compatible is met de domain-based message authentication, reporting & conformance (DMARC). Dit is een email authenticatie protocol dat gebouwd is specifiek voor het stoppen van exacte domein spoofing (SPF/DKIM).
Ironscales vond ook een nadeel bij de Microsoft servers, aangezien deze op dit moment nog niet het DMARC protocol afdwingen, dit betekend dat exacte domein spoofing berichten worden doorgelaten door functionaliteiten als Office 365 EOP en Advanced Threat Protection.
“Iedere andere email dienst die DMARC respecteert en afdwing zou deze e-mails blokkeren,” schrijft Ovadia. “Het is onbekend waarom Microsoft toestaat dat hun eigen domein “Microsoft.com” gespooft kan worden tegen hun eigen email infrastructuur.”
Het maakt de situatie nog bijzonderder, omdat Microsoft normaal gezien een van de top domeinnamen is om te spoofen of zelfs de meest gespoofte domeinnaam in phishing campagnes is. In dit geval wordt Microsoft.com gespooft.
Advies
Om deze aanvallen te mitigeren, adviseert Ironscales organisaties om hun email verdedigings- en beschermingssystemen te configureren voor DMARC. Hiermee zou het mogelijk moeten worden om e-mails te detecteren en af te wijzen die afkomstig zijn van deze Office 365 spearphishing campagne, zoals staat in het rapport.
“Geavanceerde mailbox-level email beveiliging dat constant de mailboxen van iedere medewerker bekijkt op abnormaliteiten gebaseerd op zowel email data als metadata die gehaald is uit eerdere vertrouwde communicaties, kunnen helpen om een email spoof te stoppen die er tussendoor is geglipt,” voegt Ovadia toe.
Hiermee wordt aangetoond dat wanneer je gebruikers traint op het herkennen van phishingmails door onder andere te controleren op het domein van de afzender, gebruikers hier alsnog in kunnen trappen, omdat de e-mail beveiliging niet goed geconfigureerd is om deze gespoofte e-mails tegen te houden.
Eerdere berichten
Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:
