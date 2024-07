Een kritieke exploit in de dienst van e-mailbeveiliger Proofpoint heeft ervoor gezorgd dat miljoenen spoof-mails zijn verzonden die afkomstig leken te zijn van grote bedrijven als Disney, IBM, Nike en Coca-Cola. In werkelijkheid kwamen ze van cybercriminelen die officiële email-relays met geauthentiseerde SPF en DKIM-signatures misbruikten. De kwetsbaarheid is inmiddels verholpen.

De phishingmails waren zogenaamd van grote bedrijven afkomstig en spoorden ontvangers aan verlopen accounts te herstellen of zelfs geld over te maken. De criminelen wisten zo creditcard-gegevens te stelen en in sommige gevallen slachtoffers zelfs geld afhandig te maken.

De actie is door de criminelen ‘Echospoofing’ genoemd. Dat meldt securitybedrijf Guardio Labs, dat met Proofpoint samenwerkte om de campagne in kaart te brengen en uiteindelijk te stoppen.

Authentiek uitziende mails

Het bijzondere aan de spoofing-methode is dat de criminelen een correct geconfigureerd Sender Policy Framework (SPF) gebruikten en de juiste Domain Keys Identified Mail (DKIM)-handtekeningen. Dat zorgde er niet alleen voor dat de mails security-maatregelen wisten te omzeilen, maar er ook bijzonder authentiek uit zagen voor ontvangers.

Schematische weergave van de manier waarop de malafide mails werden geauthentiseerd.

Bron: Guardio Labs

Miljoenen mails verstuurd

De spoofing-campagne begon in januari van dit jaar, waarbij dagelijks gemiddeld 3 miljoen mails werden verzonden. Het hoogtepunt was begin juni, met zo’n 14 miljoen dagelijkse mails. De verzonden e-mails werden allemaal verstuurd vanuit één familie van relay servers, namelijk pphosted.com, behorende bij Proofpoint. In mei ontdekte Guardio Labs de campagne en werkte het samen met Proofpoint om deze te stoppen.

De malafide actoren gebruikten SMTP-servers om vervalste e-mails te maken en verstuurden deze via de servers van Proofpoint met behulp van gecompromitteerde of malafide Microsoft Office 365-accounts.

Configuratie misbruikt

Deze e-mails, verzonden via Virtual Private Servers (VPS) gehost door OVHCloud en Centrilogic, wisten SPF (Sender Policy Framework)-controles te omzeilen omdat de door Proofpoint geconfigureerde SPF-records bij gebruik van Office 365 redelijk tolerant waren. Door deze configuratie konden de criminelen dergelijke accounts misbruiken om e-mails door te sturen via de service van Proofpoint.

Het gespoofte e-mailadres lijkt zeer legitiem, met logo en al. Alleen de willekeurig gegenereerde lettercombinatie na ‘admin_support’ in het afzenderadres verraadt de malafide herkomst. De link verwijst naar een phishing-site.

Bron: Guardio Labs

De manier waarop Proofpoint’s DKIM (DomainKeys Identified Mail)-instellingen had geconfigureerd, zorgden daarnaast voor een correcte ondertekening van de e-mails, wat bijdroeg aan hun zogenaamde legitimiteit. Grote platforms als Gmail visten de mails er hierdoor niet uit, bijvoorbeeld.

In de kleine lettertjes staat ‘netjes’ vermeld dat door te klikken, het slachtoffer zich committeert aan het betalen van grote sommen geld aan de criminelen.

Bron: Guardio Labs

Proofpoint heeft een gids samengesteld met daarin advies over het opzetten van stringentere anti-spoof-maatregelen. Ook bood het bedrijf hulp aan bedrijven bij het beter beveiligen van hun accounts. Ondanks de melding aan Microsoft dat er gecompromitteerde Office 365-accounts actief waren, zijn sommige van die accounts al meer dan zeven maanden in gebruik.

