Redactie - 21 januari 2020

Hackers nemen via legitieme links Microsoft Office 365 account over

Hackers nemen via legitieme links Microsoft Office 365 account over image

Een relatief nieuwe techniek laat kwaadwilligen toe om zeer snel volledige toegang te krijgen tot Office 365-account en de volledige mailbox van de gebruiker. De phishingtechniek lijkt aanvankelijk niet verdacht. Je ontvangt een mail van een contactpersoon (wiens mailbox werd overgenomen), met een link naar een bestand in OneDrive. De link stuurt je daadwerkelijk naar een OneDrive-omgeving en om het bestand te openen wordt een cloudapp gebruikt die eerst nagaat of de juiste persoon het document probeert te openen.

Maar in plaats van een simpele identiteitscontrole, waarbij je je wachtwoord opgeeft, eventueel met tweestapsverificatie, wordt er hier toegang gevraagd tot je volledige account. Zodra de gebruiker hiermee akkoord gaat heeft de app volledige toegang en wordt een gelijkaardige mail uitgestuurd naar je eigen contacten. De gebruiker in kwestie wordt in sommige gevallen zelfs uit zijn Office 365-omgeving, inclusief de mailbox, gegooid.

"Het gaat snel. Vaak gebruiken de hackers een script in Office 365 en worden er meteen mails uitgestuurd naar je eigen contactenlijst," legt Gilles Callens uit, team lead van de Managed Services bij Belgische IT-specialist ConXioN. Zijn bedrijf merkt de praktijk vandaag ook bij Belgische organisaties op.

"De app in kwestie vraagt toestemming tot je volledige account. Op dat moment moet er een belletje gaan rinkelen", vult Kevin Couvreur , Experience Center Director van ConXioN, aan. "Maar vaak reageren mensen uit automatisme. We zijn vertrouwd met apps en het geven van toegang om ze te kunnen installeren. Maar als een app dingen vraagt zoals toestemming om mails te lezen, dan moet er argwaan zijn."

Hoewel het probleem zich manifesteert in Office 365 nuanceert ConXioN dat het ook in andere cloudomgevingen kan voorvallen. "Een infectie kan evenzeer via Dropbox of Wetransfer gebeuren. Hoewel het perfect legitieme platformen zijn, kunnen ze altijd misbruikt worden en moet je als gebruiker waakzaam zijn, ook op gekende platformen", zegt Couvreur.

Namen van bedrijven die getroffen zijn noemt ConXioN niet. Maar Data News ontving recent zelf zo'n phishingpoging afkomstig van een topman van de Waalse overheidsinstelling Agence Du Numérique. De mail kwam niet van een nagemaakt adres en de link naar een PDF-document leidde naar een normale Microsoft-omgeving. Achteraf bevestigde de organisatie echter dat het om Phishing ging. Details over het incident wou de organisatie niet geven.

Wat bij een infectie?
"Twijfel je of er iets aan de hand is? Neem dan contact op met de afzender, zeker als het niet diens gewoonte is om bestanden via de cloud te sturen", zegt Couvreur. "We zien al tien jaar dezelfde trends: phishing, spear phishing en ransomware, maar de manier om de aanval uit te voeren wordt ingenieuzer", vult Callens aan.

Wie toch in de val loopt moet vooral snel de betrokkenen waarschuwen. "Dat is je IT-afdeling en iedereen in je adresboek. De eerste stap is de verspreiding zo snel mogelijk stoppen", zegt Callens.

Couvreur: "Als hackers toegang krijgen tot je profiel gaan ze er in de eerste plaats voor zorgen dat je er zelf niet meer in kan. Dan is de IT-afdeling je enige redmiddel. Afhankelijk van hoe de infectie is gebeurd kunnen ze je account blokkeren of volledig lamleggen. Of de access token van de malafide app intrekken".

Belangrijk daarbij is dat je als slachtoffer zonder schaamte communiceert over het incident. Callens: "Contacteer mensen en waarschuw hen dat er dingen worden verstuurd vanuit je account. Ook als je twijfelt: neem contact op met je eigen securitymensen. Zij kunnen je rationeel advies geven om erger te voorkomen".

Voor bedrijven ligt de sleutel vooral bij preventie. Een aanpak die niet enkel bestaat uit de nodige beveiligingstools, maar ook uit sensibilisering en een strategie voor als het foutloopt.

Dat betekent ook bepalen welke vrijheid gebruikers krijgen. "Je kan aangeven dat nieuwe (cloud)toepassingen moeten worden goedgekeurd door je IT-afdeling, maar dat heeft ook gevolgen voor de gebruikerservaring. Het is vaak een trade-off tussen een vlotte ervaring en de security die je daarbij kan bieden", besluit Couvreur.

In samenwerking met Datanews

Fundaments BW 31-10-2024 tm 15-11-2024
Axians 12/11/2024 t/m 26/11/2024 BN+BW