• Security Incident?
  • +31 88 000 2000
  • +31 88 000 2020
  • support@access42.nl
Access42 logoAccess42 logoAccess42 logoAccess42 logo
  • HOME
  • DIENSTEN
    • CYBER DEFENSE CENTER
      • Prepare
      • Detect
      • Prevent
      • Respond
      • Predict
    • DIENSTEN
      • Incident Response
      • Penetratietest (Pentest)
      • Red Teaming aanval
      • Cyber Security Assessment (CSA)
    • MANAGED SERVICES / OPLOSSINGEN
      • Nessus
      • CyberTIM
      • Container Security CSI.2030
      • Vulnerability Management
        • Vulnerability Management
        • Web App Scanning
        • OT Security
      • Phishing & Triage
      • Endpoint Detection & Response (EDR)
      • Netwerk Detectie & Response (NDR)
        • Klaar om de controle over Microsoft (Office) 365-beveiliging terug te nemen?
        • AI-powered netwerk detectie en response
      • E-Mail Security, Continuity & Archiving
      • Security Monitoring / SOC
  • ACCESS42
    • Over ons
    • Werken bij Access42
    • Partners
    • Disclaimer & Privacy Policy
  • EVENTS
  • NIEUWS
    • COVID-19
    • Nieuws
  • CONTACT
    • Contact
    • Incident Response
    • Inschrijven Nieuwsbrief
BUY NESSUS
  • Home
  • Nieuws
  • Nieuws
  • Nigerian scams, Next Generation

Nigerian scams, Next Generation

8 april 2019
Categories
  • Nieuws
Tags
  • ceo fraude
  • Impersonation Attack
  • nigerian scan
  • o365
  • office365
  • phishing
  • spearphishing
  • whaling

Je zou denken dat, na decennia van analyseren en bestrijden van e-mail spam, er nu wel voldoende bewustwording is om niet meer in de acties van Nigeriaanse boefjes te trappen. Helaas, de doelen zijn uitgebreid en de technieken verfijnd. Lees hoe creatief en vindingrijk men tegenwoordig is. Ook de Nigeriaanse scammers gaan met de tijd mee en maken gebruik van technieken die voorhanden zijn.

Laten we starten met een korte uitleg van de verschillen tussen Spearphishing-, phishing– en whalingaanvallen.

Phishing

Phishing houdt in dat kwaadwillende e-mails van veronderstelde vertrouwde bronnen naar zoveel mogelijk mensen worden verzonden, uitgaande van een laag responspercentage. Een phishing e-mail kan bijvoorbeeld afkomstig lijken van een bank en een ontvanger vragen zijn of haar account gegevens te verifiëren door op een bijgevoegde link te klikken, wat leidt tot de installatie van malware op de computer van het slachtoffer.

Phishing e-mails zijn onpersoonlijk, worden in bulk verzonden en bevatten vaak spellingsfouten of andere fouten die hun kwaadwillige bedoeling onthullen. Het probleem is dat niet iedereen deze subtiele hints opmerkt. Vertrouwde logo’s en links naar bekende bestemmingen zijn genoeg om veel mensen te misleiden om hun gegevens te delen.

Spearphishing e-mails zijn daarentegen een grotere uitdaging om te detecteren omdat ze afkomstig lijken te zijn van bronnen dicht bij het doelwit. Cybercriminelen sturen gepersonaliseerde e-mails naar bepaalde personen of groepen mensen met iets gemeenschappelijks, zoals werknemers die op dezelfde afdeling werken.

Whaling

Whaling gebruikt bedrieglijke e-mailberichten gericht op besluitvormers op hoog niveau binnen een organisatie, zoals CEO’s, CFO’s en andere leidinggevenden. Dergelijke personen hebben toegang tot zeer waardevolle informatie, waaronder handelsgeheimen en wachtwoorden voor administratieve bedrijfsrekeningen.

De aanvaller stuurt e-mails over zaken van kritisch zakelijk belang, waarbij hij zich voordoet als een persoon of organisatie met legitieme autoriteit. Een aanvaller kan bijvoorbeeld een e-mail sturen naar een CEO die om betaling vraagt, waarbij hij zich voordoet als een klant van het bedrijf.

Whaling richt zich altijd individueel tot personen, vaak met behulp van hun titel, functie en telefoonnummer, die verkregen zijn met behulp van websites van bedrijven, sociale media of de pers.

Het verschil tussen whaling en spearphishing is dat whaling uitsluitend gericht is op hooggeplaatste personen binnen een organisatie, terwijl spearphishing meestal achter een categorie van personen met een lager profiel aan zit.

True story!

Vorig jaar deden we onderzoek naar een vindingrijke whaling aanval. De betreffende organisatie maakt gebruik van Office365 en werd in eerste instantie getroffen door een whaling aanval waarbij de CFO een nep mail kreeg van de CEO met daarin de vraag om geld over te maken. Gelukkig hadden ze intern de afspraak dat voor dit soort mails en transacties altijd eerst telefonisch overleg wordt gepleegd: so far so good.

Korte tijd later werd de mailbox van de CEO gecompromitteerd. Het wachtwoord van de CEO bleek bekend te zijn (Gothcha!) uit een eerdere hack. De CEO heeft zijn wachtwoord gedurende zeker 3 jaar niet aangepast. Helaas was er ook geen multi factor authenticatie waardoor de aanvaller in kon loggen op de mailbox en toegang had tot OneDrive. De aanvaller heeft vervolgens een “forward” gezet op de mailbox van de CEO naar een gmail adres van de aanvaller. Iedere e-mail die werd verstuurd en ontvangen kwam ook bij de aanvaller terecht.

De aanvaller probeerde het weer. Opnieuw werd een mail verstuurd met daarin de vraag om geld over te maken, dit keer vanuit de echte mailbox van de CEO. Helaas voor de aanvaller werd ook deze keer telefonisch geverifieerd of de vraag legitiem was.

De aanvaller (na onderzoek bleek hij afkomstig te zijn uit Nigeria) liet het er niet bij zitten en richtte zijn pijlen op de klanten van de organisatie. In de mailwisseling van de CEO had hij voldoende klant e-mails gezien om zijn volgende doel vast te stellen. Op dezelfde manier werd een mailbox van de klant gecompromitteerd. Wederom een Office365 account zonder multi factor authenticatie.

Vanuit de CEO werd een legitieme e-mail verstuurd naar de klant met het verzoek om een 3-tal facturen die al langer open stonden te betalen. De klant reageerde hier op en vroeg naar een kopie van deze facturen. Aangezien de aanvaller toegang had tot beide mailboxen was hij ook in staat de originele facturen op te zoeken. De aanvaller heeft eerst een nieuwe tenant aangemaakt binnen Office365. De originele tenant was “bedrijf.onmicrosoft.com”, de nieuwe tenant “bedrijf-groep.onmicrosoft.com”. De aanvaller heeft de e-mail conversatie overgenomen en vanuit de nieuwe tenant de facturen verstuurd naar de klant met de opmerking dat de klant op moest letten, het rekeningnummer was gewijzigd.

Dit keer was het wel gelukt, de klant heeft de openstaande facturen betaald, inclusief andere facturen die nog open stonden. Schade…. € 400.000,00

Dit soort aanvallen komt helaas vaker voor. Het is daarom belangrijk om te werken aan bewustwording bij gebruikers, maar ook technische maatregelen te treffen om dit soort aanvallen te voorkomen.

Delen
5

Related posts

11 mei 2020

3 maanden gratis Actionable Phishing Threat Intelligence

Read more
7 mei 2020

Container Security – by Access42 & CrowdStrike

Read more
21 april 2020

Cyber dreigingen in de financiële sector

Read more

Access42 B.V.
Leusderend 38
3832RC LEUSDEN

CyberDefense Center
  • Prepare
  • Detect
  • Prevent
  • Respond
  • Predict
Diensten
  • Phishing as a Service
  • Penetratietesten
  • Red Teaming
  • Nessus
  • Container Security
  • OT Security
  • Vulnerability Management
  • Endpoint Security
  • AI-powered network detection and response
  • E-mail security
  • Alle Diensten
Over ons
  • Over Access42
  • Kernwaarden
  • Missie en Visie
  • Werken bij Access42
  • Partners
  • Disclaimer en Privacy Policy
  • Responsible Disclosure
Get in touch

© 2020 Access42 | Cybersecurity. All Rights Reserved.
Download de gratis whitepaper!

 

Inschrijven Webinar Vectra


Inschrijving Webinar Cofense


Inschrijven Webinar CrowdStrike


Start de Mimecast Service vandaag nog!


Start met de Cognito Detect for Microsoft 365 Free Service


Download de Tenable.OT Solution Brief

Name *

Email *


Prijslijst aanvragen

 


Meer weten over onze diensten?