Created by potrace 1.14, written by Peter Selinger 2001-2017

Blijf op de hoogte!

Email Reply Chain Attack

11-02-2022

Email reply chain attack? En dat is?

Het kapen van een e-mailketen begint met de overname van een e-mailaccount. Via een eerdere aanval en gedumpte inloggegevens of technieken zoals credential stuffing en password-spraying krijgen hackers toegang tot een of meer e-mailaccounts. Ze gaan gesprekken volgen om te kijken wat de mogelijkheden zijn om malware of schadelijke links naar een of meer van de deelnemers in een gespreksketen te sturen. Deze techniek is vooral effectief omdat de ontvangers elkaar al vertrouwen. De dreigingsactor voegt zichzelf nergens als nieuwe deelnemer aan het gesprek toe en probeert ook niet het e-mailadres van iemand anders te vervalsen. In plaats daarvan stuurt hij een schadelijke e-mail vanuit het echte account van een van de deelnemers. Omdat de aanvallers toegang hebben tot de hele berichtenketen, kunnen ze hun malspambericht precies afstemmen op de context van een lopend gesprek. Hierdoor, en doordat de ontvanger de afzender al vertrouwt, wordt de kans dat het slachtoffer de schadelijke bijlage opent of op een gevaarlijke link klikt, vele malen groter.

Ter illustratie: stel, het account van Sam is gehackt en de aanvaller ziet dat Sam en Carolien (en misschien nog anderen) een nieuwe salescampagne bespreken via e-mail. De aanvaller kan deze context gebruiken om Carolien een schadelijk document te sturen dat betrekking lijkt te hebben op het gesprek dat zij op dat moment met Sam voert.

Een goed opgezette reply chain-aanval is vaak moeilijk te herkennen omdat deze vanuit een vertrouwde, legitieme bron komt en de aanvaller over de e-mailgeschiedenis en gesprekscontext beschikt. Het wordt nog eens extra moeilijk als de mail wordt ingevoegd in een lange thread met meerdere, vertrouwde deelnemers.Toch zijn er verschillende dingen waarop u kunt letten om te voorkomen dat u slachtoffer wordt van dit type fraude. Reply chain-aanvallen zijn alleen mogelijk met gehackte accounts. Daarom moeten in de eerste plaats voor alle e-mailaccounts van uw bedrijf de best practices voor beveiliging worden opgevolgd, dat wil zeggen: verificatie met twee of meer factoren, unieke wachtwoorden voor alle accounts en wachtwoorden die minimaal 16 tekens lang zijn. Gebruikers moeten regelmatig de instellingen en e-mailregels van hun eigen e-mailclient controleren om te kijken of er geen berichten worden omgeleid of verwijderd zonder dat zij hier erg in hebben. Ten tweede moet het gebruik van Office-macro’s waar mogelijk worden beperkt of zelfs helemaal worden verboden. Macro’s zijn niet de enige manier om een apparaat te hacken via schadelijke bijlagen, maar ze vormen nog steeds een veelgebruikte attack vector. Ten derde: kennis is macht. Zorg voor bewustwordingstraining voor al uw gebruikers. Leg aan uw medewerkers uit wat email reply chain-aanvallen zijn en hoe ze werken. U kunt ze bijvoorbeeld doorverwijzen naar dit artikel. Gebruikers van e-mail moeten zich meer bewust worden van hoe phishingaanvallen werken en hoe de technieken die hackers gebruiken veranderen. Het is essentieel dat mensen begrijpen waarom het zo belangrijk is om nooit zomaar in te gaan op een verzoek om een bijlage te openen of op een link te klikken, ongeacht van wie dat verzoek afkomstig is. En last but not least moet u ervoor zorgen dat uw endpoints worden beschermd door een moderne, vertrouwde beveiligingsoplossing die de uitvoering van kwaadaardige code in bijlagen of links kan stoppen voordat die schade kan toebrengen. 

Ga terug