Het stoppen van e-mail spion trackers kan de Cyberattack Kill Chain doorbreken

In een recent artikel in BBC News wordt opgemerkt dat e-mailtrackers die worden gebruikt om ontvangers te bespioneren, alomtegenwoordig zijn geworden. [1] Dat is waar, en het is belangrijk: deze zogenaamde "spy trackers" worden dagelijks in tientallen miljarden e-mails ingebouwd, vaak door marketeers. Maar er is nog een dringend verhaal te vertellen over e-mailtrackers. Cybercriminelen gebruiken ze ook als onderdeel van een geraffineerde strategie om waardevolle doelwitten op te lichten en organisaties in gevaar te brengen. Beveiligingsteams moeten dit begrijpen - en weten hoe ze dit kunnen stoppen.

E-mail trackers helpen cyberaanvallers bij hun verkenning

In een "kill chain" van cyberaanvallen beginnen aanvallers met verkenning, gaan ze over op bewapening en vervolgens op het afleveren van dreigingen. Als u een aanval in de eerste fasen van de "kill chain" kunt verstoren, kunt u latere fasen voorkomen of minder effectief maken.

Cybercriminelen gebruiken e-mailtrackers om hun verkenningstocht te versnellen, dus dat is de beste fase om ze te stoppen. Zodra cybercriminelen zich op een organisatie richten, willen ze individuele potentiële slachtoffers identificeren en hun berichtgeving verfijnen om zo persoonlijk en specifiek mogelijk te zijn. Dus sturen ze een potentieel relevante e-mail met een tracker naar mogelijke slachtoffers en kijken wat er gebeurt.

Wordt het geopend? Dat suggereert interesse. Doet de ontvanger mee? 1x1 GIF "spy pixels" onthullen dat niet, maar sommige cybercriminelen sluiten nu links in naar .WAV-bestanden die stilletjes op de achtergrond worden gestreamd en bijhouden hoe lang het bericht open blijft. De tracker zendt ook een IP-adres uit dat de locatie van de ontvanger onthult.

Waponisatie en inbraak, op schaal

Dit alles is van onschatbare waarde voor het bewapenen van een zeer gepersonaliseerde aanval op het compromitteren van zakelijke e-mail (BEC). De slechte actor kan bijvoorbeeld te weten komen of een doelwit op zakenreis is en of het onderwerp van de recon-e-mail hem of haar interesseert. In combinatie met ander onderzoek - meestal in de sociale media - kan de cybercrimineel vervolgens angstaanjagend overtuigende sociaal gemanipuleerde berichten versturen die door de ontvanger niet worden ontdekt. E-mailbeveiligingstechnologieën kunnen ook worden uitgedaagd om ze te detecteren omdat ze geen kwaadaardige payload bevatten. E-mailbeveiliging moet vertrouwen op lexicale analyse en impersonatiedetectietechnieken, die heel goed zijn, maar niet 100% effectief en onderhevig aan vals-positieven. Dit is de reden waarom web e-mail gateways soms een banner aan deze berichten toevoegen in plaats van ze helemaal te blokkeren.

Als de e-mailtracker terug communiceert naar zijn origin server, stuurt het ook een user agent string met informatie over het apparaat en de omgeving van de ontvanger. Gebruikt de ontvanger een ongepatcht besturingssysteem of een oude e-mailclient met een specifieke kwetsbaarheid? Vandaag de dag kan een grote e-mail explosie die deze user agent strings retourneert een efficiënte manier zijn om technische kwetsbaarheden te ontdekken die kunnen worden misbruikt om een hele onderneming in gevaar te brengen.

Hoe groot is dit probleem eigenlijk? Volgens een analyse van het Threat Intelligence Center van Mimecast bevat 33% van de e-mails afbeeldingen, 66% van die afbeeldingen bevat trackers en ongeveer 1% van die trackers probeert risicovol gedrag te vertonen, zoals het achterhalen van de locatie van de gebruiker. In 2020 werden op een gemiddelde dag ongeveer 306,4 miljard e-mails verzonden en ontvangen. [2] Als je de rekensom doortrekt, betekent dit dat ruwweg 667 miljoen e-mails elke dag indringende of zelfs gevaarlijke trackers kunnen bevatten. Dat zijn heel wat meer e-mails dan er bijlagen met malware bevatten.

Hoe Spy Trackers stoppen in hun spoor

Er is een manier om dat aantal omlaag te krijgen, heel dicht bij nul. Stop de e-mail tracker om verbinding te maken met het doel en terug te communiceren naar de server van herkomst. Dit houdt in dat een e-mail met een link naar een tracker wordt geïdentificeerd, dat de inhoud die bij die tracker hoort wordt gedownload en gehost, en dat de link wordt vervangen door naar de gedownloade inhoud te verwijzen. Dus, wanneer gebruikers de e-mails openen, zijn ze volledig afgeschermd van de origin server. De tracker communiceert alleen met veilige kopieën van de inhoud.

De enige communicatie die de slechte actor ziet, is die eerste download, en die komt meestal van een openbaar cloud IP-adres dat niet eens herkenbaar is als een beveiligingsbedrijf. Het enige dat de aanvaller weet is dat er geen verdere communicatie is geweest.

Standaard blokkeert Mimecast vrijwel alle tracking trackers, inclusief marketing trackers. Maar organisaties kunnen trackers van partners, klanten of wie dan ook die ze willen whitelisten.

Het identificeren van e-mailtrackers is niet altijd eenvoudig. Het Threat Intelligence-team van Mimecast heeft bijvoorbeeld slechte actoren dingen zien doen zoals hun eigen DNS-serviceproviders hosten en unieke DNS-hosting voor elke tracker creëren. Om tracking te voorkomen, is dus geavanceerde machine learning nodig die URL's, attributen en de manier waarop fetches plaatsvinden, kan interpreteren.

Andere manieren om e-mailtrackers te blokkeren zijn minder doeltreffend. Sommige vereisen dat bedrijven nieuwe clientsoftware implementeren. Andere zijn beperkt tot het blokkeren van afbeeldingen en negeren nieuwere trackers, zoals de stille WAV's, of kunnen omzeilingstechnieken zoals DNS-aanpassingen niet herkennen. Bovendien zijn ze mogelijk niet geschikt voor mobiele apparaten - een behoorlijk grote lacune. In het artikel van de BBC wordt verwezen naar een consumentenoplossing waarbij klanten hun e-mailadressen moeten wijzigen, wat niet haalbaar is voor zakelijke organisaties - en in elk geval is deze oplossing gericht op marketing trackers, niet op het probleem van het voorkomen dat slechte actoren verkenningen uitvoeren.

De aanpak van Mimecast identificeert en voorkomt ook aanvallen in de verkenningsfase, zodat waardevolle beveiligingsgegevens worden gegenereerd - vaak kan Mimecast vertellen wie de eigenaar van een tracker is, wie bedrijfseigen traceertechnologie heeft ontwikkeld en wie u op dit moment aan het re-condencen is. Na verloop van tijd kan die informatie steeds vaker worden gedeeld met beveiligingssystemen van derden via kant-en-klare integraties met behulp van open API's - zodat u meer aanvallen kunt voorzien en sneller kunt reageren.

De kern van de zaak

E-mailtrackers zijn relatief onschuldig in de handen van marketeers, maar worden ook vaak gebruikt door cybercriminelen in de vroege verkenningsfasen van een cyberaanval. De e-mailbeveiligingsoplossingen van Mimecast houden spionagetrackers standaard tegen, zodat bedrijven cyberaanvalsketens die er gebruik van maken, kunnen doorbreken.

[1] " Spy pixels in emails zijn endemisch geworden ," BBC News

[2] " Aantal verzonden en ontvangen e-mails per dag wereldwijd van 2017 tot 2025 ," Statista