image

FBI: criminelen gebruiken doorstuurregels bij webmail van slachtoffers

woensdag 2 december 2020, 14:36 door Redactie, 6 reacties

Cybercriminelen die de webmailaccounts van hun slachtoffers weten te compromitteren maken gebruik van doorstuurregels om hun frauduleuze activiteiten te verbergen en e-mails met bepaalde onderwerpen te onderscheppen, zo laat de FBI in een waarschuwing aan de private sector weten (pdf).

De criminelen houden zich bezig met "Business Email Compromise", waaronder ook ceo-fraude onder valt. Zodra er toegang tot het e-mailaccount van een slachtoffer is verkregen zijn er verschillende aanvallen mogelijk. Zo kunnen de aanvallers vanuit het gecompromitteerde account valse facturen versturen. Ook komt het voor dat de aanvallers toeslaan wanneer er een grote transactie gepland staat, bijvoorbeeld tussen een leverancier en een klant. De klant ontvangt dan vanaf het gecompromitteerde account bijvoorbeeld een aangepaste factuur met het rekeningnummer van de aanvallers.

Verschillende webmaildiensten bieden gebruikers de mogelijkheid om inkomende e-mails automatisch naar een opgegeven e-mailadres door te sturen. Iets waar criminelen misbruik van maken, aldus de FBI. Via de doorstuurregels is het mogelijk om bepaalde berichten automatisch te verwijderen of voor het slachtoffer te verbergen.

De FBI stelt dat wanneer systeembeheerders hun web- en desktopmailapplicaties niet synchroniseren, de doorstuurregels alleen zichtbaar in de webmailclient zijn. Hierdoor kunnen die voor het securitypersoneel onzichtbaar blijven. Als voorbeeld noemt de Amerikaanse opsporingsdienst een incident met een Amerikaanse producent van medische apparatuur waar aanvallers mede door middel van niet opgemerkte doorstuurregels het slachtoffer voor 175.000 dollar wisten op te lichten.

Organisaties wordt geadviseerd om ervoor te zorgen dat zowel de desktop- als webapplicaties dezelfde versie draaien en synchroniseren. Tevens wordt aangeraden om alert te zijn op plotselinge veranderingen van gebruikte e-mailadressen, moet er goed naar de juistheid van de adressen worden gekeken en moet het automatisch doorsturen naar externe e-mailadressen niet worden toegestaan.

Image

Reacties (6)
02-12-2020, 14:52 door Anoniem
Goh, dit is al bekend sinds er doorstuurregels bestaan. Gmail geeft alleen via de desktop browser een melding dat e-mail wordt doorgestuurd, niet via de mobiele app. Outlook verzwijgt het vanaf moment 1, zowel Office 365 bij bedrijven als particulier Outlook.

Zelfde geldt voor webmail bij alle providers, Roundcube webmail etc etc.
02-12-2020, 14:53 door Anoniem
Dit is toch iets dat al van vorig jaar aan de gang was ...
02-12-2020, 16:29 door Briolet
Ik vraag me altijd af waarom de criminelen niet met imap synchroniseren met zo'n gekaapt account. De wachtwoorden zijn bekend, want anders konden ze het niet kapen. Bij imap ziet een slachtoffer helemaal niet dat er meerdere mensen met de server synchroniseren. Je loopt ook niet het risico dat een slachtoffer plots zien dat er forwardregels zijn.

Dat is wel op serverniveau te zien, maar dat geld ook voor het doorsturen zelf.
02-12-2020, 17:07 door Anoniem
Door Anoniem: Goh, dit is al bekend sinds er doorstuurregels bestaan. Gmail geeft alleen via de desktop browser een melding dat e-mail wordt doorgestuurd, niet via de mobiele app. Outlook verzwijgt het vanaf moment 1, zowel Office 365 bij bedrijven als particulier Outlook.

Zelfde geldt voor webmail bij alle providers, Roundcube webmail etc etc.

Ik krijg helemaal geen meldingen van doorgestuurde mails op mijn Gmail account en ik heb verschillende oudere email adressen die doorsturen naar mijn nieuwe. Ook heb ik mijn anoniem gmail account aan mijn eigen account gelinkt en daar merk je ook bijna niets van.
02-12-2020, 18:12 door Anoniem
Door Anoniem:
Door Anoniem: Goh, dit is al bekend sinds er doorstuurregels bestaan. Gmail geeft alleen via de desktop browser een melding dat e-mail wordt doorgestuurd, niet via de mobiele app. Outlook verzwijgt het vanaf moment 1, zowel Office 365 bij bedrijven als particulier Outlook.

Zelfde geldt voor webmail bij alle providers, Roundcube webmail etc etc.

Ik krijg helemaal geen meldingen van doorgestuurde mails op mijn Gmail account en ik heb verschillende oudere email adressen die doorsturen naar mijn nieuwe. Ook heb ik mijn anoniem gmail account aan mijn eigen account gelinkt en daar merk je ook bijna niets van.

Als je een doorstuurregel maakt in Gmail, dan zie je een rode melding bovenaan de browser. Deze melding blijft 7 dagen hangen, daarna verdwijnt het.

Een hacker kan dus, als hij de activiteitengeschiedenis bekijkt van gmail, inschatten of het slachtoffer gebruik maakt van Gmail via de browser of niet. Met deze informatie kan die de stap bepalen voor het doorsturen van de mail (want als slachtoffer enkel op de gmail app zit of thunderbird, dan is doorsturen een goede mogelijkheid).
02-12-2020, 18:15 door Anoniem
Door Briolet: Ik vraag me altijd af waarom de criminelen niet met imap synchroniseren met zo'n gekaapt account. De wachtwoorden zijn bekend, want anders konden ze het niet kapen. Bij imap ziet een slachtoffer helemaal niet dat er meerdere mensen met de server synchroniseren. Je loopt ook niet het risico dat een slachtoffer plots zien dat er forwardregels zijn.

Dat is wel op serverniveau te zien, maar dat geld ook voor het doorsturen zelf.

Want stel het bedrijf krijgt een melding van een breach of inlog van onbekend apparaat, dan wordt het wachtwoord gewijzigd. Maar als er een doorstuurregel actief is, dan blijft deze actief zelfs na een wachtwoord wijziging. Dus de crimineel is altijd op de hoogte van het inkomend mail van de slachtoffer.
En vooral nu het slachtoffer zich "veilig" voelt, is voor de crimineel gunstiger om aanvallen te plegen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.