Een e-mail waarin een bonus werd beloofd leidde tot een datalek bij securitybedrijf SANS, zo heeft het bedrijf laten weten. Deze week werd bekend dat een aanvaller via een phishingaanval toegang tot het e-mailaccount van een SANS-medewerker had gekregen.

Uiteindelijk kwamen meer dan vijfhonderd e-mails in handen van de aanvaller, die 28.000 records met persoonlijke identificeerbare informatie bleken te bevatten. Het securitybedrijf heeft meer details over de aanval gegeven, die begon met een e-mail. Het bericht had als onderwerp: File "Copy of sans July Bonus 24JUL2020.xls" has been shared with 'naam van ontvanger'.

De e-mail zelf leek naar een Excel-document te wijzen. In werkelijkheid ging het om een link naar een malafide Office 365-app met de naam "Enable4Excel". De naam lijkt erg op de legitieme app Enabler4Excel van Salesforce. De malafide Office 365-app vroeg om toegang tot het e-mailaccount van de medewerker, wat de medewerker toestond.

Vervolgens maakte de aanvaller een regel aan met de naam "Anti Spam Rule" die e-mails met bepaalde woorden doorstuurde. Het ging om de woorden: agreement, Bank, bic, capital call, cash, Contribution, dividend, fund, iban, Payment, purchase, shares, swift transfer, Wire en wiring info.

In totaal werden er 513 e-mails doorgestuurd voordat de aangemaakte regel werd ontdekt. De doorgestuurde e-mails bleken 28.000 records met persoonlijke identificeerbare informatie te bevatten, zoals e-mailadres, functie, naam, telefoonnummer, bedrijfsnaam, adresgegevens en andere zaken.

Vorige maand waarschuwde Microsoft nog voor phishingaanvallen waarbij malafide Office 365-apps worden gebruikt. Gebruikers die willen weten of ze malafide apps toegang tot hun account hebben gegeven kunnen dat via deze pagina bekijken. Voor beheerders en organisaties geeft Microsoft in dit document meer informatie.