Blog

Het laatste nieuws van OfficeGrip

krijg-meer-controle-inbox-microsoft-cloud-app-security

Krijg meer controle over je inbox met Microsoft Cloud App Security

Uitgebuite e-mail accounts kunnen worden gebruikt voor verschillende kwaadwillende doeleinden, waaronder het lezen van e-mail in de inbox van een gebruiker, het maken van regels om toekomstige e-mails door te sturen naar externe accounts, interne phishing-campagnes om toegang te krijgen tot verdere inbox-accounts en het opstellen van kwaadaardige regels om een ​​aanvaller te helpen onopgemerkt te blijven.

Als onderdeel van het voortdurende onderzoek van Microsoft naar aanvalstechnieken en trends, kon het Microsoft Cloud App Security-team twee nieuwe detectiemethoden inzetten om kwaadwillende activiteiten tegen inbox-accounts van Exchange beschermd met Microsoft Cloud App Security aan te pakken. Sinds het Cloud App Security-team deze nieuwe detecties hebben geïmplementeerd, zien we elke maand meer dan 3000 verdachte regelmeldingen.

1.pngAfbeelding 1: ingebouwde waarschuwingen voor verdachte inboxregels

Schadelijke doorstuurregels

Sommige e-mailgebruikers, met name die met meerdere mailboxen, stellen doorstuurregels in om zakelijke e-mails naar hun privé e-mailaccounts te verplaatsen. Hoewel dit op het eerste gezicht ongevaarlijk is, is dit gedrag ook een bekende methode die door aanvallers wordt gebruikt om gegevens van aangetaste postvakaccounts te bemachtigen. Zonder een manier om kwaadwillende regels gemakkelijk te identificeren, kunnen doorstuurregels maandenlang op hun plaats blijven, zelfs na het wijzigen van aanmeldgegevens.

Microsoft Cloud App Security kan nu verdachte doorstuurregels detecteren en hierover waarschuwen, waardoor u verborgen regels kunt vinden en verwijderen.

Kwaadaardige doorstuurregels variëren en kunnen eenvoudige namen hebben, zoals “Doorsturen Alle Emails”, “Auto forward” of ze zijn gemaakt met misleidende namen, zoals een bijna verborgen “.” In feite kunnen forward-regelnamen zelfs leeg zijn en het doorstuur-doel kan één e-mailaccount of een volledige lijst met lijsten zijn. Er zijn zelfs manieren om kwaadwillige regels verborgen te houden voor de gebruikersinterface. Nu kunt u de nieuwe Microsoft Cloud App Security-detecties gebruiken om verdacht gedrag te analyseren en te detecteren en waarschuwingen over doorstuurregels te genereren, zelfs wanneer de regels schijnbaar verborgen zijn.

In bijna alle gevallen kunt u, als u een niet-herkende doorstuurregel opmerkt naar een onbekend intern of extern e-mailadres in de regelinstelling van een gebruiker, ervan uitgaan dat de inbox-account in gevaar was. Zodra dit is gedetecteerd, kunt u gebruikmaken van dit nuttige artikel over hoe u verborgen regels uit specifieke postvakken kunt verwijderen wanneer dat nodig is.

2.pngAfbeelding 2: Verdachte inbox doorstuurregels – gedetailleerde beschrijving

Schadelijke mapmanipulatie

Een ander scenario waarvoor het Cloud App Security-team detecties hebben herkend en gebouwd, lijkt te worden gebruikt in een latere aanvalsfase. Aanvallers stellen een inboxregel in om e-mails te verwijderen en/of te verplaatsen naar een minder opvallende map (bijv. “RSS”). Deze regels verplaatsen alle e-mails of alleen die e-mails met specifieke trefwoorden. We hebben bijna 100 veelvoorkomende, relevante woorden geïdentificeerd die schadelijke verwijder- of verplaats-inboxregels zoeken in een berichttekst en een onderwerp. Enkele van de meest populaire woorden die we in dit soort regels hebben geïdentificeerd, zijn:

“superintendent”, “malware”, “kwaadwillig”, “verdacht”, “nep”, “scam”, “spam”, “helpdesk”, “technologie”, “niet klikken”, “verwijderen”, “wachtwoord”, “niet openen”, “phishing”, “phishing”, “informatie”, “verkiezing van de betaling”, “directe storting”, “payroll”, “fraude”, “virus”, “hack”, “infecteren”, “stelen “,” aanval “,” kaping “,” Betaling “,” werkdag “,” linkedin “,” Werkdag “,” Payroll “,” ontvangen “,” Fraude “,” spyware “,” software “,” bijgevoegd “, “bijlage”, “helpdesk “,” president “,” verklaring “,” bedreiging “,” VIRUSWAARSCHUWING “,” NIET OPENEN “,” FW: phishingpogingen “,” e-mail “,” betreffende “,” DRINGEND waarschuwen “,” Erkennen ” , “Link”, “negeren”, “stuurde u mij een e-mail”, “Verdachte e-mail”, “Spam”, “Virius”, “Viruis”, “Hack”, “Postmaster”, “Mailer-Daemon”, ” Message Undeliverable “,” survey “,” hacked “,” Password “,” linked-in “,” linked in “,” invoice “,” Fidelity Net Benefits “,” Net Benefits “,” 401k “,” Fidelity “, “Beveiligingscode”, “ADP”, “Kosten voor strategische adviesdiensten – Betaling “,” Directe storting “,” syed “,” Zoominfo “,” zoominfo “,” Re: Fw: Revised Invoice “,” security “

Overeenkomstige regelnamen die we herhaaldelijk namen zagen bevatten, zoals:

“Xxx”, “xxxx”, “.”, “..”, “,.,.”, “…”, “,.”, “Dsfghjh”, “At Work”, “words”, “ww “,” dsfghjh “,” email “,” mail “,” Verwijder berichten met specifieke woorden “,” Categorieën wissen op e-mail (aanbevolen) “

Aanvallers gebruiken dit soort regels om de oorspronkelijke postvakgebruiker te manipuleren, blijven ongedetecteerd in de mailbox en kunnen tegelijkertijd interne phishing-campagnes uitvoeren met behulp van de aangetaste mailbox. Aanvallers stellen dergelijke regels in om hun activiteiten te verbergen voor de oorspronkelijke mailboxgebruiker en om ervoor te zorgen dat ze geen waarschuwingsmeldingen over kwaadwillend gedrag van hun eigen mailbox kunnen zien.

Deze regels kunnen op verschillende manieren worden gemaakt. Zodra aanvallers toegang hebben tot gebruikersreferenties, kunnen ze zich aanmelden bij het postvak van het account om regels in te stellen en te manipuleren met behulp van https://outlook.office.com. Een andere optie is om een ​​API te gebruiken waarmee u nieuwe geautomatiseerde scriptregels kunt maken. De PowerShell New-InboxRule-cmdlet is een voorbeeld van een API die vaak door aanvallers wordt gebruikt om dit te bereiken.

 

3.pngAfbeelding 3: Verdachte inbox-manipulatieregel – gedetailleerde waarschuwingsbeschrijving

Toegang tot postvakken verkrijgen

Een methode die aanvallers gebruiken om initiële toegang tot een e-mailaccount te krijgen, is het verkrijgen van duidelijke tekstwachtwoorden van het postvak IN-account.

Een ander veelvoorkomend scenario om initiële toegang te krijgen tot het postvakaccount van een gebruiker is een OAuth-aanval, waarmee de aanvaller op elk moment niet de volledige gebruikersreferenties hoeft te geven. Gecompromitteerde accounts kunnen inloggen als een cloudapplicatie van derden en ermee instemmen machtigingen te delegeren om hun mailboxinstellingen door de toepassing namens hen te wijzigen. Voor dit scenario is de toestemming van de gebruiker vereist om zijn rechten te delegeren. Deze interfaces imiteren zich vaak als legitieme applicaties die de gebruikers vaak gebruiken en exploiteren gebruikers om toegang te krijgen tot hun accounts door hoge machtigingsniveaus aan te vragen via de cloud app. In het onderstaande voorbeeld gebruikten de aanvallers de toepassingsnaam ‘Outlook’ om gebruikers te tarten en uiteindelijk de mailboxwijzigingen naar elke geverifieerde gebruiker te pushen.

4.pngAfbeelding 4: Ooit aanvallen van een geïmiteerde cloud-app

Krijg controle over je inbox

Het instellen en communiceren van ‘best practices’ bij uw Postvak IN voor uw organisatie is altijd de eerste stap.

Zorg dat elk van je inboxeigenaren het weet:

  • Wanneer u machtigingen delegeert aan een app, controleert u of de gevraagde machtigingen voldoen aan de verwachtingen.
  • Blijf altijd wantrouwig ten aanzien van aanvragen voor schrijfrechten.
  • Overweeg om een ​​toepassing toe te staan ​​namens hen wijzigingen aan de mailbox aan te brengen, vooral zonder hun toestemming te vragen voor specifieke wijzigingen.
  • Als er aanwijzingen zijn voor een kwaadwillige regel, volgt u de stappen in Hoe u de aanval op Outlook-regels en -formulieren kunt stoppen en herstellen om deze te verhelpen.

 

Microsoft Cloud App Security biedt volledige zichtbaarheid van uw zakelijke Exchange Online-services, stelt u in staat kwaadaardige regels en cyberbedreigingen te bestrijden en te regelen hoe uw gegevens zich verplaatsen. MCAS is beschikbaar als onderdeel van Enterprise Mobility + Security E5 of als een op zichzelf staande service.

 

Download het eBook:

OFFICE 365 MOGELIJKHEDEN UITBREIDEN MET EMS

 

Office 365 is een krachtig productiviteitsplatform dat uw gebruikers de vrijheid geeft om overal en vanaf elk apparaat te werken. Met Microsoft Enterprise Mobility + Security (EMS) kunt u uw Office 365-mogelijkheden uitbreiden om uw mobiele Office-apps en uw bredere portfolio van cloudgebaseerde of cloudbewuste applicaties veilig te leveren.

EMS helpt bij het uitvoeren van uw end-user managementstrategie door het leveren van drie fundamentele vermogens

  • Veilige, gestroomlijnde toegang tot alle bedrijfsmiddelen
  • Beheerde mobiliteit waarmee gebruikers meer kunnen doen op hun apparaten, terwijl de assets van de organisatie worden beschermd
  • Geavanceerde beveiliging die constant luistert en leert van het steeds veranderende landschap van bedreigingen, zodat u kunt anticiperen op, ontdekken van en reageren op bedreigingen zodra ze zich voordoen

 

Voor veel organisaties is de implementatie van Office 365 een cruciale stap in de richting van digitale transformatie. EMS is uw kans om extra productiviteit, samenwerking en bescherming van eindgebruikers te bieden door veilige toegang, mobiel beheer en geavanceerde beveiliging mogelijk te maken.

 
 
 

Bekijk hieronder alvast een preview van het eBook:

Office-365-mogelijkheden-uitbreiden-met-EMS-2

    Ja, ik ga akkoord met het ontvangen van aan mij gerichte berichten over producten, evenementen en acties van OfficeGrip. OfficeGrip mag contact met mij opnemen via de kanalen die ik kies, zoals e-mail, telefoon of post.

     OfficeGrip

    Officegrip zet uw bedrijf in de cloud. Daarbij passen wij de nieuwste technologie toe van Microsoft. Wij voorzien uw bedrijf van het complete Office365 pakket aangevuld met Sharepoint, Dynamics en de beste trainingen zodat u optimaal gebruik kunt maken van uw nieuwe IT-omgeving.

    No Comments

    Leave a feedback