‘Accountovername en lateral phishing vaak niet gemeld aan bedrijven’

Onderzoek van Barracuda Networks toont aan dat cybercriminelen steeds vaker e-mailaccounts kraken en deze gebruiken voor ‘lateral phishing’. Dit is het contacteren van bedrijfsaccounts met neppe berichten vanuit een al gehackt account. In een groot deel van de gevallen wordt geen melding gemaakt van het incident door werknemers.

Tijdens het bestuderen van 180 lateral phishing-aanvallen stelden onderzoekers vast dat 11 procent van de aanvallen ervoor zorgde dat andere accounts binnen de organisatie werden gekraakt. Bovendien werd 42 procent van deze aanvallen niet gemeld aan de IT-afdeling of het securityteam van de betreffende organisatie. Daardoor wordt het mogelijk om de accounts voor meerdere aanvallen te gebruiken.

Het onderzoek toonde verder aan dat de meerderheid van de phishing-aanvallers een nep-waarschuwing gebruikte over een probleem met het e-mailaccount van de ontvanger. Ook een onechte koppeling naar een ‘gedeeld document’ werd vaak gebruikt. De mails bevatten links die de ontvangers naar phishingsites leiden. Hier moet het slachtoffer valse formulieren invullen die worden gebruikt om bijvoorbeeld bankaccountgegevens te stelen. De meeste van deze e-mails gebruikten generieke berichten of berichten gericht op bedrijven in het algemeen, maar een klein percentage was sterk gericht op een specifieke organisatie.

Ontdekking ontwijken

Sommige cybercriminelen waren actief bezig om ontdekking door een gehackte gebruiker te voorkomen, door bijvoorbeeld verzonden berichten te verwijderen. Ook antwoordden sommigen op de berichten van slachtoffers om deze ervan te verzekeren dat de berichten echt waren. Deze tactieken, gecombineerd met het feit dat phishing vaak niet wordt gemeld, maken het moeilijk om deze vorm van cybercriminaliteit te bestrijden.

Barracuda raadt aan om two-factor authentication (2FA) te gebruiken om het hacken van accounts in de eerste plaats te voorkomen. Ook zouden organisaties pro-actief moeten zijn door middel van cursussen en training voor werknemers om phishing te leren herkennen. Bovendien zou het volgens Barracuda helpen als er meer anti-phishing securitysoftware gebruikt zou worden.