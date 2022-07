Sinds vorig jaar september zijn meer dan tienduizend organisaties het doelwit van een phishingaanval geworden waarbij aanvallers een proxyserver inzetten om tweefactorauthenticatie te omzeilen en sessiecookies van het doelwit te stelen. De gecompromitteerde accounts worden vervolgens gebruikt voor het plegen van Business Email Compromise (BEC) fraude, zo stelt Microsoft in een analyse.

De aanval begint met een e-mail waarin wordt gesteld dat de ontvanger een voicemailbericht kan afluisteren. Wanneer de ontvanger de meegestuurde html-bijlage opent wordt hij doorgestuurd naar een phishingsite. Deze phishingsite draait op een proxyserver die zich tussen de gebruiker en de echte Microsoft-inlogpagina bevindt. Zodra de gebruiker zijn wachtwoord invoert wordt dat naar de echte inlogpagina doorgestuurd.

De echte inlogpagina vraagt vervolgens om de multifactorauthenticatie. De proxyserver laat dit verzoek aan de gebruiker zien. Zodra die de authenticatiegegevens invoert worden die doorgestuurd naar de inlogpagina, die een sessiecookie teruggeeft. De aanvaller injecteert het sessiecookie in zijn browser om het authenticatieproces over te slaan, ook als het doelwit van multifactorautenticatie gebruikmaakt, zo laat Microsoft weten.

Sinds vorig jaar september zijn meer dan tienduizend organisaties op deze manier aangevallen, waarbij de aanvallers het hebben voorzien op Office 365-gebruikers. De phishingpagina doet zich namelijk voor als de online inlogpagina van Office. Zodra de aanvallers toegang tot een account hebben zoeken ze naar financieel gerelateerde e-mailconversaties of andere mogelijkheden om BEC-fraude te plegen.

Bij BEC, waar ook ceo-fraude onder valt, weten aanvallers via bijvoorbeeld phishing of zwakke of hergebruikte wachtwoorden toegang tot e-mailaccounts te krijgen. Via de gekaapte accounts, maar ook door gebruik te maken van gespoofte e-mailadressen of typosquatting, waarbij ze domeinen registreren die op die van een legitieme organisatie lijken, sturen de aanvallers malafide e-mails.

Zo doen de oplichters zich bijvoorbeeld voor als leverancier en verzoeken afnemers om betalingen naar andere rekeningen over te maken, of wordt de financiële administratie van een aangevallen organisatie verzocht om bepaalde facturen te betalen, waarbij het geld moet worden overgemaakt naar door de aanvallers opgegeven rekeningen. De door BEC veroorzaakte schade bedroeg tussen juni 2016 en december 2021 ruim 43 miljard dollar, aldus de FBI afgelopen mei.

Zodra de aanvallers een geschikte e-mailconversatie vinden proberen ze de fraude te plegen. Om detectie te voorkomen maken de aanvallers een inboxregel aan om toekomstige reacties van het beoogde doelwit te verbergen, alsmede verzonden berichten. Naast een analyse van de phishingaanval heeft Microsoft ook een overzicht gepubliceerd van de verschillende phishingdomeinen die de aanvallers gebruikten.