Fins NCSC meldt sterke toename van gehackte Microsoft 365-accounts

[Captain Kirk]

Er is een sterke toename van het aantal Microsoft 365-accounts van organisaties dat wordt gehackt, zo meldt het Finse National Cyber Security Centre (NCSC). De gecompromitteerde accounts worden vervolgens gebruikt voor het versturen van nieuwe phishingmails en frauduleuze facturen. Het Finse NCSC ontving vorige maand zeventig meldingen van gehackte Microsoft 365-accounts. "Na de zomervakantie is het aantal gevallen sterk toegenomen en op het moment worden e-mailaccounts van organisaties in hoog tempo gecompromitteerd."

De Finse overheidsinstantie stelt dat talloze organisaties zijn getroffen en binnen een organisatie er soms tientallen gecompromitteerde accounts zijn. Het totaal aantal meldingen over gekaapte Microsoft 365-accounts staat dit jaar inmiddels op 330. Volgens het Finse NCSC maken de aanvallers gebruik van gestolen inloggegevens om toegang tot de accounts te krijgen, die vervolgens worden gebruikt voor het versturen van nieuwe phishingmails en factuurfraude.

Voor het stelen van de inloggegevens maken de aanvallers gebruik van phishingsites. Zodra er toegang tot een account is verkregen bestuderen de aanvallers aanwezige e-mails om zo een beeld te krijgen van hoe de organisatie van de betreffende gebruiker werkt. Daarna sturen de aanvallers nieuwe phishingmails naar contacten van het slachtoffer. In veel gevallen maken de aanvallers misbruik van de SharePoint- of OneNote-service van het slachtoffer om bestanden te delen die ontvangers naar phishingsites wijzen.

De aanvaller kan ook instellingen van het e-mailaccount aanpassen, bijvoorbeeld het instellen van forwarding rules waardoor al inkomende berichten automatisch naar een e-mailadres van de aanvaller worden doorgestuurd. Het doel is daarbij om zo lang mogelijk toegang te behouden. Verder worden eerdere legitieme e-mails, verstuurd door het slachtoffer, gebruikt voor de nieuwe phishingmails en voorzien van een link naar een phishingsite.

"Veel van de frauduleuze berichten zijn vermomd als contracten of facturen die actie van de ontvanger vereisen. De berichten kunnen bijvoorbeeld een link naar een bestand bevatten genaamd invoice.pdf, waarvoor inloggegevens worden gevraagd om het te openen. In werkelijkheid is dit een frauduleuze link, en alle ingevoerde inloggegevens worden via de phishingsite doorgestuurd naar de aanvaller", aldus het Finse NCSC. Dat adviseert organisaties onder andere om personeel geregeld te trainen over phishing en gecompromitteerde accounts, het controleren van ingestelde forwarding rules en het implementeren van Conditional Access.

 

bron: https://www.security.nl