Fins NCSC meldt sterke toename van gehackte Microsoft 365-accounts
Er is een sterke toename van het aantal Microsoft 365-accounts van organisaties dat wordt gehackt, zo meldt het Finse National Cyber Security Centre (NCSC). De gecompromitteerde accounts worden vervolgens gebruikt voor het versturen van nieuwe phishingmails en frauduleuze facturen. Het Finse NCSC ontving vorige maand zeventig meldingen van gehackte Microsoft 365-accounts. "Na de zomervakantie is het aantal gevallen sterk toegenomen en op het moment worden e-mailaccounts van organisaties in hoog tempo gecompromitteerd."
De Finse overheidsinstantie stelt dat talloze organisaties zijn getroffen en binnen een organisatie er soms tientallen gecompromitteerde accounts zijn. Het totaal aantal meldingen over gekaapte Microsoft 365-accounts staat dit jaar inmiddels op 330. Volgens het Finse NCSC maken de aanvallers gebruik van gestolen inloggegevens om toegang tot de accounts te krijgen, die vervolgens worden gebruikt voor het versturen van nieuwe phishingmails en factuurfraude.
Voor het stelen van de inloggegevens maken de aanvallers gebruik van phishingsites. Zodra er toegang tot een account is verkregen bestuderen de aanvallers aanwezige e-mails om zo een beeld te krijgen van hoe de organisatie van de betreffende gebruiker werkt. Daarna sturen de aanvallers nieuwe phishingmails naar contacten van het slachtoffer. In veel gevallen maken de aanvallers misbruik van de SharePoint- of OneNote-service van het slachtoffer om bestanden te delen die ontvangers naar phishingsites wijzen.
De aanvaller kan ook instellingen van het e-mailaccount aanpassen, bijvoorbeeld het instellen van forwarding rules waardoor al inkomende berichten automatisch naar een e-mailadres van de aanvaller worden doorgestuurd. Het doel is daarbij om zo lang mogelijk toegang te behouden. Verder worden eerdere legitieme e-mails, verstuurd door het slachtoffer, gebruikt voor de nieuwe phishingmails en voorzien van een link naar een phishingsite.
"Veel van de frauduleuze berichten zijn vermomd als contracten of facturen die actie van de ontvanger vereisen. De berichten kunnen bijvoorbeeld een link naar een bestand bevatten genaamd invoice.pdf, waarvoor inloggegevens worden gevraagd om het te openen. In werkelijkheid is dit een frauduleuze link, en alle ingevoerde inloggegevens worden via de phishingsite doorgestuurd naar de aanvaller", aldus het Finse NCSC. Dat adviseert organisaties onder andere om personeel geregeld te trainen over phishing en gecompromitteerde accounts, het controleren van ingestelde forwarding rules en het implementeren van Conditional Access.
Probleem is wederom de gebruiker.
Probleem is wederom de gebruiker.
Overigens kunnen we de gebruikers ook niet vrijwaren maar niet iedere gebruiker is een IT specialist dus hadden hier andere maatregelen op z'n plaats geweest zoals 2FA, etc..
... het is struisvogelpolitiek van ongekende magnitude om Amerikaanse oplossingen te blijven gebruiken, als ware er volledig niets in de geopolitieke arena is gebeurd.
Dit komt keihard terug komende jaren, gegarandeerd. Waarom? Omdat het een heel langzaam geleidende schaal betreft. Elke week wordt er weer een beetje meer de grens van het behoorlijke verschoven. Elke week brokkelen begrippen als democratie, vrijheid van meningsuiting, burgerrechten, alsook het vertrouwen tussen landen maar ook overheden en burgers verder af.
Totdat het kritieke punt wordt bereikt. In mijn beleving nog niet, kan ook niet, want we horen er wel over, we lezen erover, sommigen nemen het tot zich, maar (verhoudingsgewijs) weinigen ervaren het aan den eigen vege lijf. "Wat maakt het uit dat gorep x/y/z het slachtoffer is".
Totdat, als ware een donderslag bij een heldere hemel, de eigen hoedanigheid te maken krijgt met onrecht, geweld of de gevolgen van een tanende democratie.
Zoals in sommige belijdenissen wel eens geroepen wordt: onrecht moet gij geduldig lijden. Het worden tijden van veel geduld ...
... ook omdat zwakke heelmeesters stinkende wonden maken. En het wegkijken, bij bedrijfsleven, semi-overheid, overheid, maar ook vele burgers en de huidige ontwikkelen afdoen als "het waait wel over" resoneert (bij mij) sterk met de slappe politiek van de jaren 1920 en 1930 welke, op een gegeven moment, onafwendbaar de ons bekende drama's mogelijk maakte.
We hebben niet alleen te vrezen van (externe) hacks, maar mogelijk nog veel meer van interne (niet gewenste) koppelvlakken met "toezichthoudende overheidsorganen".
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Netwerkspecialist
Maak jij gemeente Delft digitaal sterker met jouw kennis van netwerken? Wil jij werken met een state-of-the-art netwerk en meebouwen aan de digitale toekomst van Delft? Bij ons combineer je strategie en uitvoering: van het ontwerpen van netwerkarchitectuur tot het oplossen van complexe incidenten. Zo maak jij écht impact, niet alleen op onze organisatie, maar op heel de stad.
Subsidie
Veel IT-dienstverleners wijzen hun mkb-klanten nu op deze cybersubsidie:
Mijn Cyberweerbare Zaak
Ontdek waarom
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?