Phishing-aanvallen op zakelijke e-mail kunnen de duurste bedreiging zijn waarmee uw organisaties worden geconfronteerd. Nu bekijken
De helft van de accounts die door phishing-aanvallen zijn gehackt, wordt handmatig geopend binnen 12 uur nadat de gebruikersnaam en het wachtwoord zijn gelekt, omdat cybercriminelen gestolen inloggegevens zo snel mogelijk willen misbruiken mogelijk.
Cybersecurity-onderzoekers van Agari hebben duizenden inloggegevens geplant die eruitzagen alsof ze van echte gebruikers waren, maar die in feite onder controle stonden van de onderzoekers, op websites en forums die populair waren voor het dumpen van gestolen gebruikersnamen en wachtwoorden.
De valse inloggegevens – gezaaid in de loop van zes maanden – waren ontworpen om eruit te zien als gecompromitteerde logins voor bekende cloudsoftware-applicaties.
Onderzoekers ontdekten dat de accounts actief worden geopend binnen uren nadat de inloggegevens online zijn geplaatst op phishingwebsites en -forums.
“Ongeveer de helft van de accounts werd geopend binnen 12 uur nadat we de sites daadwerkelijk hebben gezaaid. 20% wordt binnen een uur geopend en 40% wordt binnen zes uur geopend. Dat laat echt zien hoe snel een gecompromitteerd account wordt misbruikt,” Crane Hassold , vertelde senior directeur van dreigingsonderzoek bij Agari aan ZDNet.
Bijna alle accounts zijn handmatig geopend. Het is misschien een alledaagse taak, maar uiteindelijk blijkt het nuttig voor cybercriminelen, omdat ze nauwkeurig kunnen testen of de inloggegevens echt werken.
“Het is een behoorlijk vervelend proces, daar ben ik zeker van, maar ze krijgen er veel goede informatie uit en ze gebruiken de accounts op verschillende manieren voor verschillende soorten kwaadaardige activiteiten”, zegt Hassold.
Door toegang te krijgen tot een account kan een aanvaller bijvoorbeeld proberen gevoelige informatie te vinden in de e-mailinbox van mensen, of zelfs in hun cloudopslagsoftware, die kan worden gestolen en ofwel kan worden gebruikt om verdere aanvallen te ondersteunen of doorverkocht kan worden.
Het is ook mogelijk dat de aanvallers de gecompromitteerde accounts gebruiken om andere aanvallen uit te voeren, zoals phishing of Business Email Compromise (BEC)-aanvallen, waarbij ze het gecompromitteerde account gebruiken om verdere campagnes te starten.
Eén aanvaller probeerde het. om een gecompromitteerd account te gebruiken om BEC-aanvallen uit te voeren tegen de onroerendgoedsector, waarbij e-mails worden gelanceerd die zouden hebben geprobeerd slachtoffers om te leiden naar een website om inloggegevens van onroerendgoedbedrijven te stelen. In dit geval, omdat de valse inloggegevens werden gecontroleerd door onderzoekers, kwamen geen van de e-mailpogingen daadwerkelijk op hun beoogde bestemming aan.
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 