Kategorier
Phishing Tech

Hitta de lömska reglerna som avlyssnar användarnas e-post

På Nimblr får vi allt fler rapporter om verksamheter som drabbas av bedrägerier där betaluppgifter som skickas med e-post från betrodda avsändare modifierats. Tillvägagångssättet är inte nytt, men fortsatt en effektiv metod att lura till sig både pengar och varor. De flesta attackerna sker i Office365-miljö men liknande angrepp har också noterats i Google Workspace.

Attacken startar med att angriparen får tillgång till en användares e-postkonto, ofta genom en falsk inloggningssida där användaren anger sitt lösenord i god tro. Angriparen använder lösenordet för att logga in i offrets webmail. Där skapar angriparen e-post-regler som vidarebefordrar eller kopierar e-postkommunikationen till en extern mailadress.

I vissa fall baseras reglerna på speciella kriterier, som t.ex. att bara vidarebefordra e-post som innehåller ordet “faktura” eller “betalning”. I några av attackerna som Nimblr tagit del av når e-posten inte den tilltänkta mottagaren förrän efter att angriparen haft möjlighet att modifiera innehållet.

När den lömska e-postregeln väl är på plats är det bara för angriparen att invänta rätt tillfälle. Genom att i osynlighet granska offrets kommunikation kan attacken pågå under lång tid, och så när t.ex. en leveransadress eller en betalningsuppgift kommuniceras slår angriparen till och modifierar några små detaljer om bankkontonummer eller liknande. Ofta upptäcks inte attacken förrän leverantören frågar efter var betalningen för en viss beställning tagit vägen, eller när kunden undrar var hans varor är någonstans.

Som administratör kan det vara bra att undersöka vilka regler som finns konfigurerade i användarnas e-postklienter. Enklaste sättet är att köra ett powershellskript i Exchange-server eller Office 365-instans. Skriptet nedan listar alla användare som har eftersändning aktiverad:

$Mailboxes = Get-Mailbox -ResultSize Unlimited
ForEach ($Mailbox in $Mailboxes)
{
$MailboxWithRule = Get-InboxRule -Mailbox $Mailbox.Alias |
where {
($_.RedirectTo -ne $null) -or ($_.ForwardTo -ne $null) -or ($_.ForwardAsAttachmentTo -ne $null)
}
if ($MailboxWithRule -ne $Null)
{
Write-Host ”Användaren $($Mailbox.PrimarySmtpAddress) har reglerna:” $MailboxWithRule |
fl Name, Identity, RedirectTo, ForwardTo, ForwardAsAttachmentTo
}
}

Som slutanvändare kan man själv hålla ett öga på vilka regler som finns via Outlook Web Access under Settings > View all Outlook settings > Rules eller i e-postklienten genom att, i Outlook, klicka på File och välj Manage Rules & Alerts för att visa aktiva regler.

Kategorier
News Phishing Tech

Enklare att simulera phishing i Office 365

Snart blir det både enklare och säkrare att tillåta Phishing-tester från Nimblr i Office 365-miljö. Microsoft har lyssnar på sina kunder och kommer under juni/juli månad implementera en ny och bättre metod för att tillåta phishing-simuleringar från Nimblr och andra tredjepartsleverantörer.

Detta nya sätt att hantera phishing-simuleringar från tredjepartsleverantörer och s.k. ”security operations mailboxes” är enklare och erbjuder större förutsägbarhet för säkerhetsteam. Det som gör den här funktionen mest betydelsefull är att det blir lättare för säkerhets- och e-postadministratörer att vara säker på att deras ETR-regler inte påverkar skyddet för användarna, och att den befriar dem från att behöva inspektera alla sina ETR-regler manuellt för att garantera det säkerheten.

Den nya funktionaliteten har Roadmap ID 72207 och beskrivs i Microsofts dokumentation.

Nimblr kommer erbjuda en guide för den nya konfigurationen så snart Microsoft rullat ut funktionen. Utrullningen är planerad i Juni-Juli 2021.

Läs mer om Nimblrs Phishing-simuleringar här!

Kategorier
Phishing

Därför ska du prioritera nätfisket

Om du bara får välja ett område att fokusera på i ditt IT-säkerhetsarbete, välj då nätfisket. Phishing är den mest använda metoden i attacker mot företag och organisationer, och orsakar årligen miljontals kronor i kostnader.

Som tur är slipper de flesta av oss att bara välja ett enda område att fokusera på i arbetet med IT-säkerhet. Självklart klarar vi oss inte många sekunder utan fungerande brandvägg och antivirussystem; lösningar som i princip alla moderna företag och organisationer har på plats, och dessutom har haft tid att trimma och fila på så att de faktiskt gör sitt jobb ganska bra.

Men inför nästa års budget kan det vara värt att fundera över prioriteringarna. Att utöka säkerhetsfunktionerna i brandväggen, eller att byta till ett ännu mer intelligent antivirussystem är kanske inte den rätta vägen när man ser vad man får för pengarna. Det yttersta syftet med att investera i IT-säkerhetslösningar är att stoppa de kriminella, minska antalet angrepp och minmera incidenterna.

Enligt IBM X-Force är phishing den vanligaste kända attackvektorn för cyberbrottslingar som riktar sig mot organisationer. Föregående år hade nästan en tredjedel (31 procent) av alla cyberincidenter en känd infektionsvektor som kan spåras tillbaka till ett skadligt e-postmeddelande eller nätfiskeattack. Den näst vanligaste attackvektorn, som står för 29% av angreppen är användning av stulna användaruppgifter – som kan ha tillskansats genom en mängd olika metoder, inklusive phishing.

För att få bästa möjliga utväxling av IT-säkerhetsbudgeten kan det vara en god idé att att se över vad som kan göras åt det förhatliga nätfiskandet. Här finns alltså en attackvecktor som ligger bakom majoriteten av alla IT-attacker, men som många verksamheter helt eller delvis förbisett i sina IT-säkerhetsinvesteringar. En relativt liten investering i phsihing-förebyggande åtgärder kan ge mycket stora netto-effekter på säkerheten.

Det finns en rad kostnadsfria åtgärder som kan förebygga phishing i en verksamhet, t.ex. förtydligande av policys, nya rutiner för att verifiera avsändare av e-post som behandlar en viss typ av information etc. En av de mest effektiva metoderna är att aktivera ett Security Awareness-program där slutanvändarna kontinuerligt utbildas och tränas.

Nimblr Security Awareness Program kombinerar phishing-simuleringar, korta online-kurser och zero-day-classes. Lösningen levereras som en tjänst och kan aktiveras på några minuter.

Kategorier
Phishing

Ny phishing-attack lovar lönehöjning men levererar trojan

En ny phishing-kampanj försöker locka användare att ladda ner den senaste versionen Bazar-trojanen genom falska e-postmeddelanden som påstår att mottagaren fått en lönebonus.

Bazar-trojanen upptäcktes första gången för ett år sedan och kan ge cyberbrottslingar en bakdörr till infekterade Windows-system, så att de kan styra enheten och få ytterligare åtkomst till nätverket för att samla in känslig information eller leverera annan skadlig kod, t.ex. ransomware.

Nu har cybersäkerhetsforskare på Fortinet identifierat en ny variant av Bazar-trojanen, som har utrustats med anti-analystekniker för att göra den svårare att upptäcka för antivirusprogram.

Trojanen sprids genom phishing-e-postmeddelanden som försöker lura företagsanvändare med hjälp av falska löften om lönehöjningar, falska klagomål från kunder och falska fakturor. Gemensamt för dessa phishing-meddelanden är att de försöker få mottagaren att klicka på en länk som påstår sig leda till en PDF-fil som innehåller ytterligare information om meddelandets ämne.

Dessa länkar leder till en skadlig webbsida som refererar till det ursprungliga e-postmeddelandet och ber användarna att ladda ner en fil som innehåller Bazar-trojanen.

För att undvika att bli offer för nätfiskeattacker som distribuerar Bazar eller annan typ av skadlig kod, rekommenderade forskare att organisationer ger vägledning till sina anställda om hur man identifierar och skyddar sig mot attacker och bedrägerier.

Nimblr Security Awareness erbjuder genom sina simuleringar och ”Zero-Day-Classes” korta kurser om de senaste hoten för företagsanvändare i syfte att skapa en igenkänningsfaktor och öka säkerhetsmedvetenheten.