image

Microsoft meldt phishingaanval op tientallen organisaties en "people of interest"

dinsdag 16 augustus 2022, 10:26 door Redactie, 5 reacties

Tientallen organisaties en "people of interest" zijn sinds het begin van dit jaar doelwit geworden van phishingaanvallen uitgevoerd door een vanuit Rusland opererende spionagegroep, zo claimt Microsoft. De groep wordt door het techbedrijf Seaborgium genoemd en zou zich onder andere richten op het stelen van e-mails en bijlagen uit mailboxes van slachtoffers.

Voordat de spionagegroep met een phishingaanval begint vindt er eerst een verkenning van het doelwit plaats, voornamelijk gericht op contacten in het sociale netwerk of de invloedssfeer van het doelwit. Zo maken de aanvallers onder andere gebruik van LinkedIn om door middel van nepprofielen contact te leggen en een vertrouwensband op te bouwen.

Vervolgens sturen de aanvallers berichten met bijlagen of links die naar een phishingsite linken. Zodra slachtoffers op deze website de inloggegevens van hun e-mailaccount invullen proberen de aanvallers e-mails en bijlagen uit de mailbox te stelen. Ook stelen de aanvallers forwarding rules in zodat binnengekomen e-mail automatisch naar een opgegeven e-mailadres wordt doorgestuurd.

Microsoft zegt dat de aanvallers ook toegang tot mailinglistgegevens van "gevoelige groepen" hebben weten te krijgen, waaronder die van voormalige inlichtingenfunctionarissen. Deze data wordt vervolgens voor verdere aanvallen gebruikt. Volgens Microsoft zijn sinds het begin van dit jaar meer dan dertig organisaties en de persoonlijke accounts van een niet nader genoemd aantal "people of interest" doelwit geworden.

Het gaat dan met name om organisaties in de Verenigde Staten en het Verenigd Koninkrijk, alsmede de Baltische staten, Scandinavië en Oost-Europa. Om dergelijke aanvallen tegen te gaan adviseert Microsoft het gebruik van multifactorauthenticatie (MFA) voor alle gebruikers en vanaf alle locaties. Verder wordt aangeraden om veiligere MFA-implementaties te gebruiken, zoals FIDO-tokens of de Microsoft Authenticator, en sms-gebaseerde MFA te vermijden.

Image

Reacties (5)
16-08-2022, 11:19 door Erik van Straten
Om dergelijke aanvallen tegen te gaan adviseert Microsoft het gebruik van multifactorauthenticatie (MFA) voor alle gebruikers en vanaf alle locaties.
Dat is grotendeels zinloos als aanvallers tools zoals Modlishka, Muraena, CredSniper, MitmProxy of Evilginx2 gebruiken. Het enige dat echt helpt, maar dat Microsoft niet noemt, is het checken van de domeinnaan plus slotje en weten of die domeinnaan wel of niet van de bedoelde organisatie is (FIDO hardware keys en de toekomstige PassKeys doen die eerste twee checks voor jou, maar niet de laatste).

MFA is alleen maar een blok aan je been als je, naast jouw user-ID en wachtwoord, een 2FA-code invult op een nepsite die de door jou ingevoerde gegevens meteen invult op de echte site.

Verder wordt aangeraden om veiligere MFA-implementaties te gebruiken, zoals [...] de Microsoft Authenticator
Microsoft schrijft daarover:
or Microsoft Authenticator with number matching
Dat is nieuwe technologie die nog nauwelijks beschikbaar is en waar ik (nog) niet van snap hoe je daarmee aanvallen met een proxyserver zou kunnen detecteren, en hoe eenvoudig aanvallers dat weer kunnen omzeilen (al dan niet gebruikmakend van social engineering).

Mijn advies (zolang we geen passkeys hebben): check de domeinnaam en dat het slotje op de juiste plaats getoond wordt, en controleer of die domeinnaam van de bedoelde organisatie is.
16-08-2022, 12:15 door Anoniem
Door Erik van Straten:
Om dergelijke aanvallen tegen te gaan adviseert Microsoft het gebruik van multifactorauthenticatie (MFA) voor alle gebruikers en vanaf alle locaties.
Dat is grotendeels zinloos als aanvallers tools zoals Modlishka, Muraena, CredSniper, MitmProxy of Evilginx2 gebruiken. Het enige dat echt helpt, maar dat Microsoft niet noemt, is het checken van de domeinnaan plus slotje en weten of die domeinnaan wel of niet van de bedoelde organisatie is (FIDO hardware keys en de toekomstige PassKeys doen die eerste twee checks voor jou, maar niet de laatste).

MFA is alleen maar een blok aan je been als je, naast jouw user-ID en wachtwoord, een 2FA-code invult op een nepsite die de door jou ingevoerde gegevens meteen invult op de echte site.

Verder wordt aangeraden om veiligere MFA-implementaties te gebruiken, zoals [...] de Microsoft Authenticator
Microsoft schrijft daarover:
or Microsoft Authenticator with number matching
Dat is nieuwe technologie die nog nauwelijks beschikbaar is en waar ik (nog) niet van snap hoe je daarmee aanvallen met een proxyserver zou kunnen detecteren, en hoe eenvoudig aanvallers dat weer kunnen omzeilen (al dan niet gebruikmakend van social engineering).

Mijn advies (zolang we geen passkeys hebben): check de domeinnaam en dat het slotje op de juiste plaats getoond wordt, en controleer of die domeinnaam van de bedoelde organisatie is.

ehh... het gaat hier om een methode waarbij username/wachtwoord wordt gestolen en misbruikt. Dat is perfect te ondervangen met MFA - daarbij vul je niks in, maar je accordeert een actie al dan niet op je telefoon. Het controleren van domainnamen is ook belangrijk, maar in dit geval helpt het niet omdat de mail vanaf het eigen domain wordt verstuurd.
16-08-2022, 17:06 door Anoniem
Je hoorde nooit wat van microsoft, alleen van andere bedrijven die iets over microsoft te zeggen hadden...
Nu is er iets aan de hand in het oosten van Europa en elke week komt microsoft wel met een persbericht...
Kwist niet dat microsoft inmiddels het officiele it-persbureau van de VS was geworden...
16-08-2022, 17:07 door Anoniem
Verder wordt aangeraden om veiligere MFA-implementaties te gebruiken, zoals FIDO-tokens of de Microsoft Authenticator, en sms-gebaseerde MFA te vermijden.

Ik voorspel een enorme toename van MFA fatigue... (je verwacht het niet he...)
16-08-2022, 20:48 door Erik van Straten
Door Anoniem: ehh... het gaat hier om een methode waarbij username/wachtwoord wordt gestolen en misbruikt. Dat is perfect te ondervangen met MFA - daarbij vul je niks in, maar je accordeert een actie al dan niet op je telefoon.
ehh... je snapt er niets van. Bij een "TOTP" (Time-based One Time Password) app, zoals Microsoft Authenticator, Google Authenticator en Authy, verschijnt er, voor de website waar jij denkt dat het om gaat (maar niet checkt want je bent te druk met die app), een -elke 30 seconden veranderende- 6-cijferige code die je moet invoeren op de website.

Bij een AITM (Attacker in the Middle) proxy-website zullen alle gegevens die jij invult op die AITM-site automatisch en onmiddelijk door die proxy op de echte site worden ingevuld, waarna de eigenaar van die AITM-site als jou op de echte site is ingelogd. Als de aanvaller voor dat inloggen wisselende IP-adressen of VPN-services voor gebruikt, is het voor de echte site knap lastig om te bepalen dat niet jij maar een aanvaller inlogt - met jouw credentials.

Ook MFA met een code via SMS, chat-app, e-mail, telefoon of uit een RSA key-fob of authenticatie-apparaatje zoals sommige banken gebruiken, zijn KANSLOOS als je jouw user-ID, wachtwoord en 2FA-code invoert op zo'n fake website.

Door Anoniem: Het controleren van domainnamen is ook belangrijk, maar in dit geval helpt het niet omdat de mail vanaf het eigen domain wordt verstuurd.
Je moet de domeinnaam van de website checken voordat je vertrouwelijke gegevens invult.

Sowieso heb je duidelijk het Microsoft-artikel niet gelezen, daaruit (onderstrepen toegevoegd door mij):
[...]
SEABORGIUM also registers new email accounts at various consumer email providers, with the email address or alias configured to match legitimate aliases or names of impersonated individuals. While the creation of new consumer accounts is common, we have also observed SEABORGIUM returning to and reusing historical accounts that match the industry of the ultimate target. In one case, we observed SEABORGIUM returning to an account it had not used in a year, indicating potential tracking and reusing of accounts if relevant to targets’ verticals.
[...]
URL in body of email
In the simplest case, SEABORGIUM directly adds a URL to the body of their phishing email. Occasionally, the actor leverages URL shorteners and open redirects to obfuscate their URL from the target and inline protection platforms. The email varies between fake personal correspondence with a hyperlinked text and fake file sharing emails that imitate a range of platforms.
[...]
PDF file attachment that contains a URL
[...]
OneDrive link to PDF file that contains a URL
[...]
Credential theft
Regardless of the method of delivery, when the target clicks the URL, the target is directed to an actor-controlled server hosting a phishing framework, most often EvilGinx.
[...]

Het enige dat tegen dit soort aanvallen helpt is geen gegevens invullen op andere dan de bedoelde website, ook al is die website een exacte kopie van het origineel. Als je wachtwoorden in je browser opslaat en automatisch laat invullen, vermoed ik dat de browser dat weigert bij een afwijkende domeinnaam (maar ik ben geen fan van wachtwoorden opgeslagen in de browsers). Natuurlijk moet je je dan niet laten verleiden om alsnog jouw wachtwoord op de, als twee druppels water gelijkende - doch fake, website in te voeren.

Van de momenteel beschikbare soorten MFA, checken, bij mijn weten, alleen FIDO hardware keys of je op de juiste website zit (en binnenkort passkeys). In alle andere gevallen zul je zelf de domeinnaam moeten checken - vóórdat je ook maar iets invult.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.