Back to BEC

Door Martijn Hoogesteger 14 dec 2023

Cybercriminelen moeten harder op zoek naar nieuwe technieken. In een eerdere column schreef ik over de wapenwedloop tussen criminelen en organisaties. Cybercriminelen hebben een lange tijd ver voorgelegen maar moeten nu weer aanpoten. Een van de trends die we duidelijk zien is een vernieuwde aandacht voor het hacken van e-mailaccounts om vervolgens fraude te plegen, Business Email Compromise (BEC). De afgelopen drie weken heb ik drie BEC-zaken onderzocht waar iets geks mee aan de hand was.

De eerste BEC treft iemand uit het management van een advieskantoor. Zij hebben per ongeluk de MFAinstellingen niet helemaal correct staan, waardoor het account van deze persoon alleen met een wachtwoord beveiligd is. Dit wachtwoord wordt helaas buitgemaakt in een phishingaanval. Deze phisher gebruikt legitieme websites om bestanden uit te wisselen, waar het bestand weer een link bevat naar een neppe Microsoft-pagina. Op zich niets bijzonders. De crimineel logt in, kijkt heel kort rond, reset vervolgens het LinkedIn-account van deze manager en verwijdert alle e-mails gerelateerd aan deze reset. In het LinkedIn-account is verder niets bijzonders gebeurd, maar het resetten van accounts gerelateerd aan het e-mailadres om meer gegevens buit te maken is interessant. Gelukkig was deze klant er snel bij en is deze toegang tot LinkedIn niet misbruikt. Het zet de vraag: tot welke accounts kan ik nog meer toegang krijgen vanaf de mailaccounts? wat hoger op de risicolijst. Het is een techniek die ik 99% van de tijd kan misbruiken om toegang te krijgen tot accounts van voortvluchtigen in Hunted, dus ik moest wel even grinniken.

In de tweede BEC zaak gebeurt ook iets interessants. Deze aanval is opgevallen omdat er met een factuur gefraudeerd was. Op jacht naar de eerste login van de crimineel vinden we... niets! De e-mails zijn buitgemaakt door een applicatie te koppelen aan het account via de Graph API van Microsoft. Via deze API is de gehele mailbox meermaals gedownload, en zijn de factuurgegevens ontvreemd. De gebruiker heeft waarschijnlijk lang geleden deze applicatie toegang gegeven (naar aanleiding van een phishing aanval). Helaas was er geen expliciete goedkeuring voor dit soort applicaties nodig binnen de organisatie. Het is een techniek die niet onbekend is, maar we steeds vaker zien terugkomen.

In de derde BEC zaak zien we twee oude technieken samenkomen. De organisatie was nogal verrast dat ze waren getroffen, want ze gebruiken overal MFA. De phishingaanval bleek uitgevoerd met EvilProxy, die ook de MFA had onderschept om zo in te loggen. Na het inloggen is bijna direct een nieuwe phishingmail opgesteld en verstuurd naar alle contacten in dit account. Dit lijkt volledig geautomatiseerd te gebeuren, om zo een ‘worm’ te maken die zich snel verspreid naar andere doelwitten. Beide technieken zijn niet nieuw (EvilProxy is alweer bijna een jaar oud), maar de combinatie creëert wel weer flinke impact. Nieuwe technieken voor Business Email Compromise zijn makkelijk uit te leggen en je kunt je er met een beetje configuratie en bewustwording goed tegen verdedigen. We zien ook steeds slimmere en nieuwe technieken die gebruikt worden in andere aanvallen, met name ransomware. Die vergen vaak een meer diepgaande en holistischere aanpak om effectief tegen te verdedigen. Stay safe!


Martijn Hoogesteger
Martijn is Head of Cyber bij S-RM en is bereikbaar via m.hoogesteger@s-rminform.com.

Deze column verscheen in IB6-2023.