Een nieuw rapport van securityspecialist Barracuda bekijkt hoe oplichters toegang krijgen tot e-mail-accounts en wat ze met deze overgenomen accounts doen. Het opzetten van phishing-pogingen blijkt eerder uitzondering dan regel te zijn. Handel drijven in mailaccounts komt veel vaker voor, blijkt uit het rapport.
Barracuda heeft een nieuw rapport gepubliceerd over de methoden die cybercriminelen hanteren om e-mail accounts aan te vallen en te misbruiken. Het rapport toont aan dat er een complete economie bestaat rond e-mail accountovernames. De beveiliger onderzocht samen met onderzoekers van UC Berkeley de complete levenscyclus van overgenomen e-mail accounts. Er zijn 159 accounts in het onderzoek opgenomen, van 111 organisaties. Daarbij werd nagegaan hoe het overnemen van een account gebeurt, hoe lang de aanvallers toegang hebben tot een overgenomen account, hoe aanvallers informatie halen uit deze accounts en wat ze daarmee doen.
Om de hand te kunnen leggen op email-accounts zijn phishing en social engineering de geliefde methodes van cybercriminelen. Toch speelt ook de slordigheid van gebruikers hen in de kaart. Bij een vijfde van de overgenomen accounts bleken de login-gegevens deel uit te maken van minstens één groot lek van wachtwoorden die de afgelopen jaren hebben plaatsgevonden. Dit duidt erop dat cybercriminelen misbruik maken van het feit dat medewerkers dezelfde logingegevens gebruiken voor meerdere persoonlijke en zakelijke accounts.
In het overgrote deel van de gevallen (de helft ongeveer) zijn de mailaccounts voor minder dan 24 uur gecompromitteerd. Toch was meer dan een derde van de overgenomen accounts die werden geanalyseerd meer dan een week in handen van hackers. In vier procent van de gevallen was dit zelfs meer dan een maand.
Nadat een mailaccount in het bezit komt van de criminelen, worden deze voor verschillende zaken ingezet. In bijna een derde van de aanvallen nemen de cyberboeven de rol aan van groothandelaar: ze verkopen de gegevens aan een andere groep criminelen, die vervolgens geld op hun beurt proberen te verdienen met de gekaapte accounts. Soms worden de accounts ook gebruikt om verdere phishing-aanvallen op te zetten, al was dit maar in 7 procent van de gevallen. Barracuda vermoedt dat cybercriminelen liever geen phishing versturen vanaf gecompromitteerde accounts omdat dit de kans vergroot dat ze gesnapt worden en de controle over het account verliezen. Vaker komt het voor dat criminelen aan ‘conversation hijacking’ doen (het inmengen in e-mail-conversaties) of via mail pogingen ondernemen om meer en uitgebreidere logingegevens van de organisatie buit te maken. Later kunnen ze met die gegevens dan grotere hacks opzetten, of deze op hun beurt verder verkopen.
‘Cybercriminelen vinden nieuwe manieren om lange tijd onontdekt toegang te houden tot accounts. Op die manier kunnen ze maximaal profiteren van een account, of dat nu gaat om het verkopen van de login-gegevens of dat ze er zelf misbruik van maken’, zegt Stefan van der Wal, pre-sales engineer bij Barracuda Benelux. ‘Door goed op de hoogte te blijven over het gedrag van aanvallers, kunnen organisaties de geëigende maatregelen nemen. Zo kunnen ze zich tegen dit soort aanvallen verdedigen en kunnen ze snel reageren wanneer een account wordt gekaapt.’