| Softwaregeek

Wat is de belangrijkste bron van aanvallen op Cloud platforms?

Andere Cloud platforms.

De Amerikaanse geheime dienst waarschuwt dat Office 365 nu een belangrijk doelwit is. Nog zorgwekkender zijn de aanvallen vanuit Office 365 zelf.

Zo wordt u geen statistiek

Aanvallen op Windows 10 is zo gisteren. Hackers weten al langer dat phishing een vruchtbare en goedkope methode is om gegevens te stelen. En hoe groter het cijfer, hoe beter het rendement. Het is dus geen verrassing dat Office 365 een verleidelijk doelwit is geworden.

De op abonnementen gebaseerde productiviteitssuite van Microsoft was een groot succes voor het bedrijf. Volgens een Petri-rapport waren er 155 miljoen actieve Office 365 gebruikers in het najaar van 2018; en het aantal groeit snel. Dat, en de afhankelijkheid van de suite van een internetverbinding, maakt het een dikke laaghangende pruim voor aanvallers.

In een recent artikel van Trend Micro werd opgemerkt dat een bulletin van de Amerikaanse geheime dienst waarschuwde voor phishing-aanvallen die specifiek gericht waren tegen organisaties die Office 365 gebruikten.

Trend Micro beweerde ook dat in 2018 zijn “Cloud App Security” 8,9 miljoen e-mailbedreigingen met een hoog risico, zijn gemist door Office 365-beveiliging. Deze bedreigingen omvatten “een miljoen malware, 7,7 miljoen phishing-pogingen en 103,955 zakelijke ondermijnende e-mail pogingen”. Dat is een serieuze bedreiging voor zowel bedrijven als individuele gebruikers.

Bovendien maken en delen aanvragers tools die specifiek gericht zijn op zowel Microsoft Exchange als Office 365. Deze kwaadwillende code kan bijvoorbeeld worden gebruikt om e-mailadressen te stelen en toegang te krijgen tot bedrijfssystemen via verkeerd geconfigureerde machtigingen van mailboxen.

Aanvallers kunnen bijvoorbeeld de open-source Mail Sniper-tool gebruiken om beveiligingsinformatie te verkrijgen van Office 365 en lokale Exchange-configuraties. (Officieel is Mail Sniper een beveiligingstool dat wordt gebruikt om de mogelijkheid te testen om Exchange-systemen te penetreren).

Echter om systemen met Mail Sniper effectief te kunnen misbruiken, moet de aanvaller eerst de geldige inlog gegevens van een geldige Exchange-gebruiker stelen vooral die van een account op beheerdersniveau.

Op afstand uitgevoerd, Mail Sniper kan dan gewone en zwakke wachtwoorden over de accounts van een bedrijf ‘spuiten’ en zoeken naar overeenkomsten die een hacker toegang geven tot de Exchange Server. Dit gebeurt in een traag en gemeten proces om detectiedrempels en geautomatiseerde accountvergrendelingen te voorkomen. Zodra hackers toegang krijgen, kunnen ze het volgende doen:

  • Verzamelen van gebruikersgegevens uit de algemene adreslijst,
  • Verzamelen van lijsten met mappen van specifieke mailboxen,
  • Geldige domeinen en gebruikersnamen opzoeken vanuit Outlook Web Access (OWA),
  • Geldige Active Directory-gebruikersnamen ophalen van Exchange Web Services (EWS),
  • Test de toegang tot specifieke mailboxen
  • Wachtwoord aanvallen inzetten op OWA en EWS portals.

Met een vaste voet in een Exchange-server kunnen aanvallers Office 365 binnen dringen en toegang krijgen tot Office 365-items.

Wat maakt Office 365 een goed doelwit?

Het is een getallen spel, nogmaals; het aantal potentiële slachtoffers dat vertrouwt op het gehoste e-mailsysteem van Microsoft is groot en groeit nog steeds in een gezond tempo. Voeg dat toe aan het uitdijende doel van inherente kwetsbaarheden in het e-mailsysteem van Microsoft.

Microsoft zou alle Office 365-gebruikers meer bescherming kunnen bieden door Advanced Thread Protection (ATP; meer informatie) toe te voegen aan elke versie van de suite. Momenteel is dit alleen standaard ingeschakeld op Office 365 Enterprise E5, Office 365 Onderwijs A5 en Microsoft 365 Business.

Een onderdeel van die verdediging, ATP Veilige Bijlagen, kan u beschermen tegen schadelijke e-mailbijlagen.

| Softwaregeek

ATP kan worden toegevoegd aan alle Office 365-installaties voor slechts € 2 per mailbox. Maar wij denken dat het de standaard over de hele linie zou moeten zijn. (Phishing en andere vormen van kwaadwillende sociaal engineering zullen een grote bedreiging blijven vormen voor alle e-mailgebruikers; in wezen iedereen die is verbonden met internet).

Wilt u bewijs? Afgelopen augustus 2018 meldde Computer Business Review dat naar schatting 10 procent van de Office 365-klanten het doelwit was van phishing-aanvallen.

De boosaardige verlokkingen zijn goed ontwikkeld en zeer succesvol. Een aanvaller verzendt een e-mail die lijkt te zijn verzonden door een vertrouwde afzender. In sommige gevallen is het doel om persoonlijke informatie, zoals uw inlogreferenties en bankrekening gegevens te stelen; in andere gevallen installeert de aanvaller een stille achterdeur in uw systeem. Ofwel dit kan verwoestende gevolgen hebben.

Phishing met de juiste tackle

Verrassend genoeg kunnen kwaadwillende hackers Office 365 zelf gebruiken om meer aanvallen uit te voeren. Zoals opgemerkt in een recent bericht van Blaze, hebben exploits de neiging om vergelijkbare acties te ondernemen, zoals hieronder beschreven:

  • Een aanvaller stuurt een e-mail met Office 365 speer-phishing, (gerichte) [meer info] waarschijnlijk van een vervalst of nep e-mailadres.
  • De gebruiker wordt aangespoord om op de link te klikken of een bijlage met een koppeling te openen.
  • De gebruiker zal dan onbewust zijn of haar inloggegevens invoeren op de nep-Office 365-pagina.
  • De inloggegevens worden teruggestuurd naar de aanvaller.
  • Aanvaller heeft toegang tot de mailbox van de nu gehackte gebruiker.
  • De cyclus herhaalt zich: de aanvaller stuurt speer- phishing e-mails naar alle contacten van de gecompromitteerde gebruiker, maar met dit verschil: het komt van een legitiem adres.

Blaze voegt eraan toe: “Dit is precies wat er met een vriend van me is gebeurd: hij ontving een e-mail van een legitiem e-mailadres, wat een contact in zijn adresboek was, alleen de afzender heeft nooit opzettelijk deze e-mail verzonden!”

De redactie heeft aanvallen van andere cloudservices gezien en het is vaak erg moeilijk om een legitieme e-mail van een valse e-mail te achterhalen. In veel gevallen is het enige dat u en uw e-mail inbox veilig houdt een slimme eindgebruiker.

Office 365 moet worden aangepast

Voordat u besluit om helemaal te stoppen met e-mailen en terug te gaan naar papieren bekers en telefoons met snoeren, moet u dit in gedachten houden: elke cloudservice kan net zo veilig worden gemaakt als, of veiliger dan, elke on-premises, tegenhanger. Het belangrijkste is om geen cloudservice te nemen, want u moet enkele aanpassingen aanbrengen.

Begin met sterke en unieke wachtzinnen (wachtwoorden). Schakel vervolgens twee-factoren authenticatie in om te voorkomen dat gestolen wachtwoorden met succes worden toegepast door externe aanvallers.

Voeg Advanced Thread Protection toe aan uw bestaande Office 365-abonnement. Klik bij voorkeur niet op links die in uw inbox terechtkomen, dat is de sleutel om een hack op uw e-mail account te voorkomen.

Dat is een goed begin voor het beveiligen van Office 365 en uw e-mail, maar er is nog veel meer dat u kunt doen om deze en andere cloudservices te beveiligen. Blijf op de hoogte van toekomstige artikelen over manieren van het voorkomen dat u een cybercrime-statistiek wordt.

Pin It on Pinterest