Deze website maakt gebruik van cookies. Voor meer informatie over de cookies waarvan deze website gebruik maakt klik hier.
Door verder op deze website te surfen geeft u de toestemming aan Minoc Media Services om cookies te gebruiken. verder gaan
 

Hackers richten pijlen op vaak vergeten Office365-systeemaccounts

Michaël Aussems

 
Heb jij ergens een Exchange-account die je gebruikt om bijvoorbeeld een je e-mailserver met een marketingpakket te verbinden? Een nieuwe aanvalsgolf van hackers richt zich op precies die geautomatiseerde accounts.

 

‘KnockKnock’: zo heet een nieuwe golf van aanvallen die het gemunt heeft op slecht beveiligde Office365-accounts. Concreet richt de aanval zich op systeem- en administrator-accounts met een matige beveiliging. Het gaat doorgaans om accounts met een specifiek doel. Denk aan de verbinding tussen je Exchange-mailserver en een softwarepakket van je marketingafdeling voor het sturen en tracken van e-mail. Zelfs wanneer iedereen z’n eigen accounts goed beveiligd, worden die systeemaccounts vaak over het hoofd gezien.

 

Ze zijn een aantrekkelijk doelwit voor hackers, net omdat ze geautomatiseerd zijn. Een mens logt er niet of nauwelijks op in, maar de bevoegdheden gekoppeld aan de accounts zijn doorgaans best hoog. Bovendien besteed een administrator niet altijd evenveel aandacht aan het wachtwoord van de geautomatiseerde systeemaccount.

 

Subtiele aanval

De KnocKnock-aanval is al sinds deze zomer gaande. Beveiligingsbedrijf Skyhigh ontdekte de cyberaanval en stelde vast hoe de hackers zo lang succesvol onder de radar konden functioneren. KnockKnock maakt gebruik van een erg klein botnet dat zich op Office365-accounts met een heel specifiek profiel richt. Minder dan twee procent van de accounts komt in aanmerking als doelwit. Vervolgens probeert het botnet een account te kraken door naar het wachtwoord te raden. De aanvallers mikken op accounts met erg eenvoudige wachtwoorden en breken de inlogpoging af na een drie tot vijf mislukte pogingen. Raakt het botnet niet binnen, dan richt het zijn pijlen op een nieuw slachtoffer. Zo gaan er nergens alarmbellen rinkelen.

 

Zodra het botnet de deur heeft geopend, proberen hackers de rest van het bedrijfsnetwerk te infiltreren. In eerste instantie stelen ze de mails uit de inbox waar ze aan kunnen. De toegang die ze zich verschaften, leent zich uitstekend voor het opzetten van phishing-aanvallen. Skyhigh vermoedt dat hackers pas beslissen of en hoe ze een bedrijf zullen aanvallen nadat de inbraak geslaagd is.

 

Logbestanden

KnockKnock is een slimme maar geen hoogtechnologische aanval. Je beschermen kan zoals altijd door beveiliging serieus te nemen, ook wanneer het niet zo handig is. Door ook geautomatiseerde accounts van een ingewikkeld wachtwoord te voorzien, kan je je bedrijf waarschijnlijk al veilig stellen.

 

KnockKnock profileert zich verder als ‘persistent attack’. Dat wil zeggen dat de aanvallers zich niet noodzakelijk kenbaar maken. Het is mogelijk dat jou bedrijf geïnfecteerd is, maar dat je dat nog niet weet. Zoals altijd is het een goed idee om geregeld door logbestanden te bladeren en eens te kijken of er niets vreemd gaande is. Een geautomatiseerd systeemaccount waarop plots vanuit China wordt ingelogd, zou bijvoorbeeld aan die definitie van vreemd kunnen voldoen.

 

Reacties

comments powered by Disqus
 

RECENT NIEUWS