De Amerikaanse overheidsinstantie OCIAC heeft een waarschuwing afgegeven voor het gebruik van e-mailfilters door cybercriminelen om berichten te monitoren en onderscheppen (pdf). Veel e-maildiensten staan gebruikers toe om filters aan te maken. Zo kunnen berichten naar andere e-mailadressen worden doorgestuurd of naar bepaalde mappen worden verplaatst. Iets waar ook cybercriminelen gebruik van maken zodra ze toegang tot een e-mailaccount hebben verkregen.
Via e-mailfilters kunnen aanvallers nog steeds e-mailberichten van het slachtoffer monitoren, ook al heeft het slachtoffer zijn eerdere wachtwoord gewijzigd of is de malware waarmee toegang tot het account werd verkregen verwijderd. Ook geeft het aanvallers de mogelijkheid om e-mailcommunicatie te monitoren zonder continu op het account in te loggen. Bepaalde e-maildiensten laten zien vanaf welke ip-adressen er op het account is ingelogd. Onbekende ip-adressen zouden een slachtoffer kunnen waarschuwen dat er iets mis is. Daarnaast kunnen cybercriminelen e-mailfilters gebruiken om bepaalde e-mails die het slachtoffer waarschuwen dat zijn account is gehackt onderscheppen en bijvoorbeeld direct in de prullenbak plaatsen of verwijderen.
In de waarschuwing, die eerder dit jaar werd gegeven en waar Public Intelligence over bericht, geeft het OCIAC verschillende voorbeelden van aanvallen waarbij aanvallers daadwerkelijk e-mailfilters gebruikten nadat ze toegang tot een account hadden verkregen. De overheidsinstantie adviseert dan ook om het controleren van e-mailfilters onderdeel van een 'cyber incident response proces' te maken. Op organisatorisch niveau kan er bijvoorbeeld worden gemonitord op het aanmaken van nieuwe e-mailfilters of het blokkeren van het doorsturen van e-mails naar adressen buiten het netwerk.
Deze posting is gelocked. Reageren is niet meer mogelijk.