Mimecast Logo
Schedule a Demo
Start Free Trial
    Inzichten in cyberbestendigheid
    Alle onderwerpen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    E-mailbeveiliging

    E-mailaanvallen in de echte wereld: Voorbeelden voor uw veerkrachtstrategie

    Trek lessen uit het verleden bij het opbouwen van de cyberweerbaarheidsstrategie van uw organisatie.

    by Joshua Douglas
    blog-image-4.png

    In het rapport 2019 State of Email Security worden enkele van de meest alarmerende trends in de wereld van e-mailbeveiliging belicht, maar wordt ook onderzocht hoe organisaties geavanceerde bescherming, bewustwordingstraining en dreigingsintelligentie gebruiken om deze trends te bestrijden.

    Om inzicht te krijgen in uw vermogen om een plan voor cyberresilience op te stellen, is het nuttig om te zien hoe deze aanvallers achter uw waardevolle activa aan kunnen gaan.

    Het team van het Mimecast Threat Center heeft verschillende point-in-time gevallen gevonden van de aanvallen en reactietechnieken die we in het rapport State of Email Security van dit jaar hebben onderzocht. In deze blog gaan we dieper in op de aanvallen die tegenstanders kunnen gebruiken om uw organisatie in gevaar te brengen. Uit deze voorbeelden kunt u lering trekken bij het opstellen van uw strategie voor cyberresilience.

    Imitatie- en phishingaanvallen: Stijging en verergering

     

    blog-afbeelding-4.png

     

    Op 19 januari 2019 richtte een CEO-impersonatieaanval zich op een gebruiker bij een klant van Mimecast Legal, specifiek gericht op een persoon die betrokken was bij financiële zaken.

    Dit was geen agressieve e-mail die veel druk op de persoon legde zoals we vaak zien. Deze e-mail had een andere social engineering aanpak om het slachtoffer te manipuleren.

    De aanvaller deed zich voor als de CEO en beweerde het te druk te hebben om zelf een betaling uit te voeren en stelt dat er een bestelling van "gadgets" is, wat erop wijst dat de te betalen prijs waarschijnlijk niet gering zal zijn.

    Bovendien verklaart de aanvaller dat hij de activiteit stil wil houden en tussen hem en het slachtoffer wil houden. Vanuit het oogpunt van social engineering is deze e-mail niet intimiderend en spreekt hij het slachtoffer aan als een welgemeend gebaar van de CEO aan het team, waardoor slachtoffers eerder geneigd zullen zijn om de transactie uit te voeren en het stil te houden zoals opgedragen, dan de transactie als verdacht te markeren.

    In deze actie trappen kan ernstige gevolgen hebben die verder gaan dan alleen het verlies van bedrijfsmiddelen. Een werknemer werd aangeklaagd nadat hij in de val was getrapt van a CEO fraud scam.

    Bewustzijnstraining

    De volgende schadelijke koppeling werd 22 keer aangeklikt en geblokkeerd door Targeted Threat Protection - URL Protect door 22 unieke gebruikers, voornamelijk uit overheidsorganisaties. Onder de gebruikers bevonden zich directeuren en senior IT-managers. Interessant is dat alle gebruikers die op deze koppeling hadden geklikt, ook op andere koppelingen hadden geklikt die naar malware leidden. Eén gebruiker (een infrastructuurbeheerder) had de afgelopen maand op 157 malwarekoppelingen geklikt.

    hxxp://45.55.211.79/[.]cache/untitled[.]exe

    De link download de nieuwe Sodinokibi ransomware. Deze ransomware versleutelt en hernoemt bestanden met een willekeurige ID die uniek is voor elk slachtoffer. Er wordt een losgeldbrief achtergelaten voor het slachtoffer, met instructies over hoe ze hun bestanden kunnen herstellen.

     

    blog-afbeelding-3.png

     

    Wanneer het slachtoffer deze instructies volgt, wordt hem verteld hoeveel hij moet betalen en wanneer, op basis van zijn unieke ID. Er zijn stap-voor-stap instructies en zelfs een chatvenster voor ondersteuning, mocht het slachtoffer verdere hulp nodig hebben, of willen proberen over de prijs te onderhandelen (wat in dit geval niet lukte).

     

    blog-afbeelding-2.png
    blog-afbeelding11.jpg

     

    Interne bedreigingen en datalekken

    Een klant gebruikte een verouderd domein dat ze niet met Mimecast hadden beveiligd. We zagen een gebruiker een bijlage openen - een Microsoft Word-document. Deze bijlage was eigenlijk een malware dropper en bij het openen werd de gebruiker geïnfecteerd met de Trickbot banking trojan. Een minuut later had de Trickbot malspam module die bijlage naar honderden interne en externe contactpersonen gemaild vanuit de gecompromitteerde gebruikersaccount. Vervolgens zagen we nog meer bewijs dat gebruikers van het oude domein deze bijlagen openden.

    Trickbot kan ook gebruik maken van de EternalBlue kwetsbaarheid, bekend geworden door WannaCry, om zich door het netwerk van een bedrijf te verspreiden, geïnfecteerde machines op het netwerk zullen machines die zijn opgeschoond opnieuw infecteren. Traditioneel wordt Trickbot gebruikt om financiële informatie te stelen, zoals inloggegevens voor online bankdiensten. Het wordt nu echter ook gebruikt als dropper voor andere malware, waaronder Ryuk ransomware, die wordt gebruikt tegen bedrijfsomgevingen in zeer gerichte aanvallen waarbij het losgeld is afgestemd op de omvang en waarde van het slachtofferbedrijf.

     

    soes19_blog_footer.jpg
    enhancing-security.jpg
    Up Next
    E-mailbeveiliging |
    Interne veiligheidsbedreigingen: Een probleem dat steeds erger wordt

    Verwante Artikelen

    E-mailbeveiliging
    Driving Growth Through Service  
    E-mailbeveiliging
    A Guide to DMARC Reports and How to Read Them  
    E-mailbeveiliging
    How to Improve Your Cybersecurity On a Lower Budget

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven