Nigerian scams, Next Generation

Je zou denken dat, na decennia van analyseren en bestrijden van e-mail spam, er nu wel voldoende bewustwording is om niet meer in de acties van Nigeriaanse boefjes te trappen. Helaas, de doelen zijn uitgebreid en de technieken verfijnd. Lees hoe creatief en vindingrijk men tegenwoordig is. Ook de Nigeriaanse scammers gaan met de tijd mee en maken gebruik van technieken die voorhanden zijn.

Laten we starten met een korte uitleg van de verschillen tussen Spearphishing-, phishing– en whalingaanvallen.

Phishing

Phishing houdt in dat kwaadwillende e-mails van veronderstelde vertrouwde bronnen naar zoveel mogelijk mensen worden verzonden, uitgaande van een laag responspercentage. Een phishing e-mail kan bijvoorbeeld afkomstig lijken van een bank en een ontvanger vragen zijn of haar account gegevens te verifiëren door op een bijgevoegde link te klikken, wat leidt tot de installatie van malware op de computer van het slachtoffer.

Phishing e-mails zijn onpersoonlijk, worden in bulk verzonden en bevatten vaak spellingsfouten of andere fouten die hun kwaadwillige bedoeling onthullen. Het probleem is dat niet iedereen deze subtiele hints opmerkt. Vertrouwde logo’s en links naar bekende bestemmingen zijn genoeg om veel mensen te misleiden om hun gegevens te delen.

Spearphishing e-mails zijn daarentegen een grotere uitdaging om te detecteren omdat ze afkomstig lijken te zijn van bronnen dicht bij het doelwit. Cybercriminelen sturen gepersonaliseerde e-mails naar bepaalde personen of groepen mensen met iets gemeenschappelijks, zoals werknemers die op dezelfde afdeling werken.

Whaling

Whaling gebruikt bedrieglijke e-mailberichten gericht op besluitvormers op hoog niveau binnen een organisatie, zoals CEO’s, CFO’s en andere leidinggevenden. Dergelijke personen hebben toegang tot zeer waardevolle informatie, waaronder handelsgeheimen en wachtwoorden voor administratieve bedrijfsrekeningen.

De aanvaller stuurt e-mails over zaken van kritisch zakelijk belang, waarbij hij zich voordoet als een persoon of organisatie met legitieme autoriteit. Een aanvaller kan bijvoorbeeld een e-mail sturen naar een CEO die om betaling vraagt, waarbij hij zich voordoet als een klant van het bedrijf.

Whaling richt zich altijd individueel tot personen, vaak met behulp van hun titel, functie en telefoonnummer, die verkregen zijn met behulp van websites van bedrijven, sociale media of de pers.

Het verschil tussen whaling en spearphishing is dat whaling uitsluitend gericht is op hooggeplaatste personen binnen een organisatie, terwijl spearphishing meestal achter een categorie van personen met een lager profiel aan zit.

True story!

Vorig jaar deden we onderzoek naar een vindingrijke whaling aanval. De betreffende organisatie maakt gebruik van Office365 en werd in eerste instantie getroffen door een whaling aanval waarbij de CFO een nep mail kreeg van de CEO met daarin de vraag om geld over te maken. Gelukkig hadden ze intern de afspraak dat voor dit soort mails en transacties altijd eerst telefonisch overleg wordt gepleegd: so far so good.

Korte tijd later werd de mailbox van de CEO gecompromitteerd. Het wachtwoord van de CEO bleek bekend te zijn (Gothcha!) uit een eerdere hack. De CEO heeft zijn wachtwoord gedurende zeker 3 jaar niet aangepast. Helaas was er ook geen multi factor authenticatie waardoor de aanvaller in kon loggen op de mailbox en toegang had tot OneDrive. De aanvaller heeft vervolgens een “forward” gezet op de mailbox van de CEO naar een gmail adres van de aanvaller. Iedere e-mail die werd verstuurd en ontvangen kwam ook bij de aanvaller terecht.

De aanvaller probeerde het weer. Opnieuw werd een mail verstuurd met daarin de vraag om geld over te maken, dit keer vanuit de echte mailbox van de CEO. Helaas voor de aanvaller werd ook deze keer telefonisch geverifieerd of de vraag legitiem was.

De aanvaller (na onderzoek bleek hij afkomstig te zijn uit Nigeria) liet het er niet bij zitten en richtte zijn pijlen op de klanten van de organisatie. In de mailwisseling van de CEO had hij voldoende klant e-mails gezien om zijn volgende doel vast te stellen. Op dezelfde manier werd een mailbox van de klant gecompromitteerd. Wederom een Office365 account zonder multi factor authenticatie.

Vanuit de CEO werd een legitieme e-mail verstuurd naar de klant met het verzoek om een 3-tal facturen die al langer open stonden te betalen. De klant reageerde hier op en vroeg naar een kopie van deze facturen. Aangezien de aanvaller toegang had tot beide mailboxen was hij ook in staat de originele facturen op te zoeken. De aanvaller heeft eerst een nieuwe tenant aangemaakt binnen Office365. De originele tenant was “bedrijf.onmicrosoft.com”, de nieuwe tenant “bedrijf-groep.onmicrosoft.com”. De aanvaller heeft de e-mail conversatie overgenomen en vanuit de nieuwe tenant de facturen verstuurd naar de klant met de opmerking dat de klant op moest letten, het rekeningnummer was gewijzigd.

Dit keer was het wel gelukt, de klant heeft de openstaande facturen betaald, inclusief andere facturen die nog open stonden. Schade…. € 400.000,00

Dit soort aanvallen komt helaas vaker voor. Het is daarom belangrijk om te werken aan bewustwording bij gebruikers, maar ook technische maatregelen te treffen om dit soort aanvallen te voorkomen.