Barracuda Networks ziet stijging in overnames Office 365-accounts

Stay tuned, abonneer!

Onderzoekers van Barracuda Networks hebben een grote stijging in account takeovers gedetecteerd. 29 procent van de organisaties waren in maart slachtoffer van een poging om Office 365-accounts over te nemen. In een maand tijd werden bovendien 1,5 miljoen kwaadaardige mails en spammails verstuurd vanuit de gehackte accounts. 

De account takeover-aanvallen werden op verschillende manieren uitgevoerd. In sommige gevallen gebruikten de hackers inloggegevens die bij eerdere data breaches werden verzameld. Aangezien mensen vaak hetzelfde wachtwoord gebruiken voor verschillende accounts, konden aanvallers de gestolen inloggegevens hergebruiken en toegang krijgen tot meerdere accounts.

Ook werden brute force-aanvallen gebruikt om Office 365-accounts over te nemen. Dit was succesvol omdat mensen erg eenvoudige wachtwoorden gebruiken, die gemakkelijk te raden zijn. Verder komen aanvallers binnen via web- en zakelijke applicaties, waaronder SMS.

De onderzoekers bekeken ook vanuit welke landen er ingelogd werd om toegang te krijgen tot de gehackte accounts. Dit is vooral vanuit China, met 23 procent. Nederland staat met vijf procent op een gedeelde vierde plek met Vietnam, achter Brazilië (9 procent) en Rusland (7 procent).

Werkwijze

Het overnemen van het Office 365-account begint volgens Barracuda vaak met cybercriminelen die doen alsof ze voor Microsoft werken. Aan de hand van social engineering halen ze ontvangers van e-mail over om een phishing-website te bezoeken en in te loggen.

Zodra het account over is genomen, monitoren hackers de activiteiten binnen het bedrijf om de kansen op het succesvol uitvoeren van een aanval te vergroten. Scammers zetten vaak regels op de mailbox om de e-mails die ze vanaf het gehackte account versturen te verbergen of te verwijderen. Dit bleek in maart het geval bij 34 procent in de bijna vierduizend gehackte accounts.

Daarna gebruiken cybercriminelen de verzamelde gegevens om te proberen om accounts met meer waarde over te nemen. Het gaat dan vooral om accounts van topmensen en financiële werknemers. Ook worden overgenomen accounts gebruikt om persoonlijke, financiële en vertrouwelijke data te stelen. Die gegevens worden gebruikt voor bijvoorbeeld identiteitsdiefstal en fraude. Verder worden de accounts gebruikt om externe aanvallen tegen partners en klanten uit te voeren.

Bescherming

Barracuda geeft diverse adviezen aan bedrijven om zich te verdedigen tegen overnames van Office 365-accounts. Zo is het volgens de onderzoekers belangrijk om een oplossing in te zetten die spear phishing-aanvallen detecteren en hiertegen beschermen. Daarnaast wordt aangeraden om technologie in te zetten die kunstmatige intelligentie gebruikt om het te herkennen als een account is overgenomen en gebruikers hiervan op de hoogte stelt.

Verder wordt het gebruik van multi-factor authentication aangeraden. Dit biedt een extra laag aan bescherming, bovenop de gebruikersnaam en het wachtwoord. Ook is technologie om verdachte activiteit – zoals inlogs vanaf ongewone locaties – te monitoren van belang, stellen de onderzoekers.

Tot slot wordt aangeraden om werknemers te onderwijzen over spear phishing-aanvallen, zodat ze die herkennen en er geen slachtoffer van worden. Dit kan bijvoorbeeld met phishing-simulaties.