Nieuws
image

OCIAC waarschuwt voor gebruik e-mailfilters door cybercriminelen

zondag 9 juli 2017, 09:02 door Redactie, 12 reacties

De Amerikaanse overheidsinstantie OCIAC heeft een waarschuwing afgegeven voor het gebruik van e-mailfilters door cybercriminelen om berichten te monitoren en onderscheppen (pdf). Veel e-maildiensten staan gebruikers toe om filters aan te maken. Zo kunnen berichten naar andere e-mailadressen worden doorgestuurd of naar bepaalde mappen worden verplaatst. Iets waar ook cybercriminelen gebruik van maken zodra ze toegang tot een e-mailaccount hebben verkregen.

Via e-mailfilters kunnen aanvallers nog steeds e-mailberichten van het slachtoffer monitoren, ook al heeft het slachtoffer zijn eerdere wachtwoord gewijzigd of is de malware waarmee toegang tot het account werd verkregen verwijderd. Ook geeft het aanvallers de mogelijkheid om e-mailcommunicatie te monitoren zonder continu op het account in te loggen. Bepaalde e-maildiensten laten zien vanaf welke ip-adressen er op het account is ingelogd. Onbekende ip-adressen zouden een slachtoffer kunnen waarschuwen dat er iets mis is. Daarnaast kunnen cybercriminelen e-mailfilters gebruiken om bepaalde e-mails die het slachtoffer waarschuwen dat zijn account is gehackt onderscheppen en bijvoorbeeld direct in de prullenbak plaatsen of verwijderen.

In de waarschuwing, die eerder dit jaar werd gegeven en waar Public Intelligence over bericht, geeft het OCIAC verschillende voorbeelden van aanvallen waarbij aanvallers daadwerkelijk e-mailfilters gebruikten nadat ze toegang tot een account hadden verkregen. De overheidsinstantie adviseert dan ook om het controleren van e-mailfilters onderdeel van een 'cyber incident response proces' te maken. Op organisatorisch niveau kan er bijvoorbeeld worden gemonitord op het aanmaken van nieuwe e-mailfilters of het blokkeren van het doorsturen van e-mails naar adressen buiten het netwerk.

Image

Reacties (12)
09-07-2017, 09:33 door Bitwiper
Het woord "filter" dekt de lading niet voor de hier bedoelde functionaliteit, namelijk "automatisch doorsturen".

Wel een duidelijk nadeel van E-mail accounts met webbased toegang. Providers zouden hier iets tegen kunnen doen door 2FA te vereisen om instellingen te kunnen wijzigen (ik ken niemand die het pretig vindt om, elke keer dat een webbrowser of dedicated client checkt of er "new mail" is, handmatig 2FA data te moeten verstrekken).
09-07-2017, 10:12 door Anoniem
@ Bitwiper, het is niet alleen doorsturen, ook verplaatsen / verwijderen van mails.
09-07-2017, 10:30 door Briolet
Door Bitwiper: Het woord "filter" dekt de lading niet voor de hier bedoelde functionaliteit, namelijk "automatisch doorsturen".

Toch heet die functionaliteit bij een groot deel van de mail cliënts "filter". In het screenshot hierboven zie je dat bij GMail en Yahoo. Maar ook Ziggo webmail, RoundCube, en Thunderbird noemen dit filterregels. Het wordt hier alleen voor doorsturen gebruikt, maar de regels kunnen doorgaans veel meer doen.

Ik vraag me alleen af of dit de kans op ontdekking verkleint t.o.v. ophalen via b.v. IMAP, omdat het opvalt als je daar eens een regel wilt aanpassen of toevoegen. Anderzijds kijk ik maar een paar keer per jaar naar mijn fiterregels.
09-07-2017, 11:44 door Anoniem
Door Bitwiper:Wel een duidelijk nadeel van E-mail accounts met webbased toegang.
Waarom? Dit geldt evenzeer voor niet-webbased clients zoals Outlook tov een Exchange.

Iets waar ook cybercriminelen gebruik van maken zodra ze toegang tot een e-mailaccount hebben verkregen.
Dàt is de clou van het artikel.
09-07-2017, 11:49 door Anoniem
Om zulks effectief met 2FA te bestrijden dien je die via een offline apparaat te laten verlopen. Ongetwijfeld wordt 2FA namelijk binnenkort geïntegreerd bij het instellen en achteraf goedkeuren van filters, en dan nog ben je online kwetsbaar voor SMS-spoofing.
09-07-2017, 12:07 door Bitwiper
Door Anoniem: @ Bitwiper, het is niet alleen doorsturen, ook verplaatsen / verwijderen van mails.
Ja, maar dat zal in de praktijk niet veel voorkomen omdat (A) mensen die sommige e-mails niet ontvangen daar op andere wijze op gewezen kunnen worden (bijv. telefonisch: "heb je m'n e-mail niet gelezen of zo?", of per brief als ze een gevraagde actie niet ondernemen) en daardoor kunnen gaan zoeken naar wat er aan de hand is en (B) daar is steeds interactieve toegang voor nodig - wat niet meer werkt als de gebruiker haar wachtwoord heeft gewijzigd maar ook kan opvallen als "last logon on date/time from IP-adress" o.i.d. wordt getoond en dit regelmatig afwijkt van jouw eigen laatste access.

@Briolet: als je naast met IMAP ook met webmail bij jouw e-mail account kunt (dat is bij de meeste ISP's het geval) dan kan de aanvaller via webmail bijv. "forward automatic copies to" instellen en dan merk jij daar mogelijk helemaal niks van.
09-07-2017, 14:02 door Briolet
Door Anoniem:Ongetwijfeld wordt 2FA namelijk binnenkort geïntegreerd bij het instellen en achteraf goedkeuren van filters,

Daar heb je niets aan als dit via filters van een mail client op je PC gebeurd. Die filters kun je nml. instellen zonder dat je op je mail ingelogd bent. Bij webmail is het ook onzinnig. Als je daar voor het inloggen al 2FA had gebruikt, dan waren ze niet in je account gekomen om daar de regels aan te passen.

Door Bitwiper:@Briolet: als je naast met IMAP ook met webmail bij jouw e-mail account kunt (dat is bij de meeste ISP's het geval) dan kan de aanvaller via webmail bijv. "forward automatic copies to" instellen en dan merk jij daar mogelijk helemaal niks van.

Dat had ik me al gerealiseerd. Ik heb een flink aantal mail accounts die allen ook webtoegang bieden. Ik log daar hooguit een paar maal per jaar web-based in. Sommige account zelfs nog minder en filters nalopen is dan het laatste wat ik doe.

Als ik een webbased account zou willen volgen die het inlog IP en/of de laatste inlog tijd steeds toont, dan zou ik op IMAP overschakelen. De laatste IMAP toegang zie je waarschijnlijk niet op het inlogscherm. Op je eigen PC moet je dan volledig afblijven van dat account en alle inkomende berichten via filterregels naar een eigen account verplaatsen. Dit om te voorkomen dat je het bericht weer kwijt bent als de echte ontvanger ze wist.
Dit klinkt omslachtig, maar als je een high-profile target hebt, zoals bij ceo fraude, loont zich die moeite.
09-07-2017, 14:54 door Bitwiper
Door Anoniem:
Door Bitwiper:Wel een duidelijk nadeel van E-mail accounts met webbased toegang.
Waarom? Dit geldt evenzeer voor niet-webbased clients zoals Outlook tov een Exchange.
Dat geldt hooguit in de situatie dat een Exchange server direct toegankelijk is vanaf internet voor Microsoft Outlook clients. Buiten Office365 is dat een niet erg gebruikelijke setup, meestal biedt zo'n server dan ook OWA (Outlook Web Access).

En gevoelsmatig denk ik dat aanvallers de voorkeur voor webbased aanvallen zullen hebben, maar wellicht heb ik dat fout.

Aan de andere kant, als een organisatie-eigen Exchange server uitsluitend Outlook-protocol toegang biedt tot interne Outlook clients, zal een aanvaller toegang moeten hebben tot het interne netwerk om identity-spoofing aanvallen uit te kunnen voeren. Als diezelfde Exchange server vervolgens ook OWA aanbiedt voor de rest van de wereld, is die laatste toegangsmogelijkheid zeer waarschijnlijk de meest gebruikte aanvalsvector.

De kans dat organisaties gebruikers toestaan om brakke wachtwoorden te gebruiken voor een internet Exchange server is tot daar aan toe, maar zodra de baas OWA toegang wil vanaf z'n vakantieadres en dat voor iedereen met diezelfde, ongewijzigde, brakke wachtwoorden wordt opengezet, is het een kwestie van wachten tot, via OWA, accounts worden "overgenomen".
09-07-2017, 14:57 door Anoniem
Door Bitwiper: Het woord "filter" dekt de lading niet voor de hier bedoelde functionaliteit, namelijk "automatisch doorsturen".

Wel een duidelijk nadeel van E-mail accounts met webbased toegang. Providers zouden hier iets tegen kunnen doen door 2FA te vereisen om instellingen te kunnen wijzigen (ik ken niemand die het pretig vindt om, elke keer dat een webbrowser of dedicated client checkt of er "new mail" is, handmatig 2FA data te moeten verstrekken).

Klopt, en daarom doen ze het niet: het hindert de klanten.
09-07-2017, 18:38 door Anoniem
Als je 2-factor authorization bedoelt, schrijf dat dan, gebruik geen afkortingen.

Het is overigens wel erg raar 2-factor authentication te eisen als je al bent ingelogd. Maak van het middel geen doel.
10-07-2017, 00:11 door Briolet
Door Anoniem:Het is overigens wel erg raar 2-factor authentication te eisen als je al bent ingelogd. Maak van het middel geen doel.

Banken eisen bij internetbankieren ook weer een extra authenticatie voor gevoelige actie, zoals betalen. (In elk geval de twee die ik ken) Dit om het meekijkende mallware iets moeilijker te maken.
10-07-2017, 11:19 door Anoniem
Door Anoniem: Als je 2-factor authorization bedoelt, schrijf dat dan, gebruik geen afkortingen.
2FA is gewoon een standaard afkorting voor 2-factor authorization. Dus kan gewoon gebruikt worden.
Eigenlijk net zoiets als IMAP.... Of Internet Message Access Protocol.

Het is overigens wel erg raar 2-factor authentication te eisen als je al bent ingelogd. Maak van het middel geen doel.
Het kan wel, heb het wel meer gebruikt zien worden. Eventueel voor extra beveiliging waar een standaard UserID / Wachtwoord niet voldoende is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search