Nieuws
image

Ceo-fraudeurs slaan toen via 'reply-to' optie

maandag 2 november 2015, 12:35 door Redactie, 7 reacties

Criminelen die zich met ceo-fraude bezighouden, ook bekend als business email compromise, passen verschillende nieuwe tactieken toe om organisaties op te lichten, zoals het gebruik van de 'reply-to' optie. Dat claimt beveiligingsbedrijf PhishLabs. Ceo-fraude is een vorm van cybercrime waarbij financiële personen binnen een organisatie een e-mail ontvangen die van de directeur afkomstig lijkt.

In de e-mail wordt gevraagd om met spoed een groot geldbedrag over te maken. Volgens de FBI hebben criminelen op deze manier al 1,2 miljard dollar weten te stelen. Bij de eerste aanvallen gebruikten de criminelen gratis e-maildiensten of gehackte bedrijfsaccounts om de malafide verzoeken te versturen. Nu gebruiken ze gehackte e-mailaccounts van internetbedrijf GoDaddy. Deze accounts zijn namelijk eenvoudig via phishingaanvallen over te nemen, ondersteunen het gebruik van de 'reply-to' optie en de 'identiteits' feature.

Via deze feature kan er eenvoudig als afzender een willekeurig e-mailadres worden opgegeven. De fraudeurs gebruiken deze feature voor het opstellen van een e-mail met als afzender een legitiem adres van de aangevallen organisatie, zoals het e-mailadres van de directeur. Vervolgens vullen ze voor het reply-to-adres een e-mailadres in dat in beheer van de criminelen is. De meeste e-mailclients laten alleen de naam zien en verbergen het e-mailadres, waardoor werknemers het reply-to-adres niet meteen zien.

Een andere verandering in werkwijze is dat de eerste e-mail kort en bondig is en verder geen betaaldetails bevat. Bij eerdere aanvallen kreeg de financiële controller meteen het rekeningnummer en over te maken bedrag toegestuurd. Nu wisselen de fraudeurs meerdere e-mails uit voordat de rekeninggegevens worden doorgestuurd. En ook voor de rekening is de tactiek iets veranderd. Werden er eerst buitenlandse rekeningen in bijvoorbeeld China gebruikt, nu zijn het Amerikaanse rekeningen. PhishLabs adviseert organisaties om meer bewustzijn onder het personeel te creëren en spamfilters zo in te stellen dat de frauduleuze e-mails worden geblokkeerd.

Image

Reacties (7)
02-11-2015, 13:35 door Anoniem
Raar dat spamfilters hier geen waarschuwing op geven, de domeinen in received, from en reply-to zijn allemaal verschillend. Lijkt me voor een spamfilter toch niet zo moeilijk om dat te signaleren en ook niet om dat in een emailclient te tonen als waarschuwing.
02-11-2015, 14:14 door Briolet
De fraudeurs gebruiken deze feature voor het opstellen van een e-mail met als afzender een legitiem adres van de aangevallen organisatie, zoals het e-mailadres van de directeur.
Als het bedrijf DMARC als beveiliging gebruikt had op hun eigen servers, was dit onmogelijk geweest. Dat protocol verplicht een correcte DKIM ondertekening door de server van het afzender-domein zelf. Dan moeten ze eerst toegang zien te vinden tot de bedrijfs email-server om vandaar uit te sturen
02-11-2015, 14:29 door Anoniem
Door Anoniem: Raar dat spamfilters hier geen waarschuwing op geven.
mutt geeft een waarschuwing by default.
02-11-2015, 15:56 door Anoniem
De meeste e-mailclients laten alleen de naam zien en verbergen het e-mailadres, waardoor werknemers het reply-to-adres niet meteen zien.
Ergerniswekkend, dit, waarom wordt software nog steeds zo gemaakt? Voor veel GUI-ontwerpers is er kennelijk een onweerstaanbare verleiding om essentiële informatie weg te laten, vermoedelijk omdat het er dan eenvoudiger uitziet. Maar de schijn van eenvoud is iets anders dan werkelijke eenvoud, je kan iets pas weglaten als je ook werkelijk zonder kan. Dat is hier duidelijk niet aan de orde, aan wie je antwoord gestuurd wordt is een essentiëel gegeven bij e-mail. Alleen een naam volstaat daarvoor niet. Dat een naam geen unieke identificatie vormt was al bekend voor de computer en e-mail waren uitgevonden, dat zou zo langzamerhand geen verassing meer mogen zijn.
02-11-2015, 18:14 door Anoniem
Door Anoniem: Raar dat spamfilters hier geen waarschuwing op geven, de domeinen in received, from en reply-to zijn allemaal verschillend. Lijkt me voor een spamfilter toch niet zo moeilijk om dat te signaleren en ook niet om dat in een emailclient te tonen als waarschuwing.

Noppes, kan al decennia lang niet gebruikt worden omdat nu eenmaal ook legitieme mail niet zulke eenvoudige regeltjes volgt. Ik verstuur m'n @live.com mail bijvoorbeeld ook gewoon via m'n eigen provider en ik ben niet van plan dat te veranderen.
02-11-2015, 23:29 door Anoniem
Nou jongens, dit is nu echte spear phishing en dat noemt niemand die term en verzint er een PR mannetje het CEO fraude.

Deze fraude is niet heel erg geavanceerd en ze worden opvallend slecht uitgevoerd door mensen die geen Engels als moedertaal hebben (als het doelwit wel Engelstalig is), het is wel een stapje hoger dan de normale 419 fraude, maar niet heel veer meer. De aanvallers gebruiken openbaar beschikbare documenten (bijvoorbeeld bij Britse kamer van koophandel) om namen van CEO en CFO te weten te komen. Ze maken soms ook met opzet niet heel opvallende spelfouten in domein en eigennamen. DMARC werkt daardoor niet. De content van de mails is niet overtuigend voor goed opgeleide mensen.

De beste methode om er tegen te wapenen is het gebruik van persoonsgebonden verificatiemethoden zoals message signing en vaste betaalprocedures. Zoals gezegd, domeingebaseerde verificatie is niet ok.

@13:35 door Anoniem
Nee, dat is niet raar. Zo werkt email nu eenmaal. Er kan wel een waarschuwing worden gegeven door MUA's, maar de kans dat dat gebeurt is nihil.
03-11-2015, 14:32 door Anoniem
Dit word al jaren zo gedaan..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search