Kategorier
Phishing Tech

Hitta de lömska reglerna som avlyssnar användarnas e-post

På Nimblr får vi allt fler rapporter om verksamheter som drabbas av bedrägerier där betaluppgifter som skickas med e-post från betrodda avsändare modifierats. Tillvägagångssättet är inte nytt, men fortsatt en effektiv metod att lura till sig både pengar och varor. De flesta attackerna sker i Office365-miljö men liknande angrepp har också noterats i Google Workspace.

Attacken startar med att angriparen får tillgång till en användares e-postkonto, ofta genom en falsk inloggningssida där användaren anger sitt lösenord i god tro. Angriparen använder lösenordet för att logga in i offrets webmail. Där skapar angriparen e-post-regler som vidarebefordrar eller kopierar e-postkommunikationen till en extern mailadress.

I vissa fall baseras reglerna på speciella kriterier, som t.ex. att bara vidarebefordra e-post som innehåller ordet “faktura” eller “betalning”. I några av attackerna som Nimblr tagit del av når e-posten inte den tilltänkta mottagaren förrän efter att angriparen haft möjlighet att modifiera innehållet.

När den lömska e-postregeln väl är på plats är det bara för angriparen att invänta rätt tillfälle. Genom att i osynlighet granska offrets kommunikation kan attacken pågå under lång tid, och så när t.ex. en leveransadress eller en betalningsuppgift kommuniceras slår angriparen till och modifierar några små detaljer om bankkontonummer eller liknande. Ofta upptäcks inte attacken förrän leverantören frågar efter var betalningen för en viss beställning tagit vägen, eller när kunden undrar var hans varor är någonstans.

Som administratör kan det vara bra att undersöka vilka regler som finns konfigurerade i användarnas e-postklienter. Enklaste sättet är att köra ett powershellskript i Exchange-server eller Office 365-instans. Skriptet nedan listar alla användare som har eftersändning aktiverad:

$Mailboxes = Get-Mailbox -ResultSize Unlimited
ForEach ($Mailbox in $Mailboxes)
{
$MailboxWithRule = Get-InboxRule -Mailbox $Mailbox.Alias |
where {
($_.RedirectTo -ne $null) -or ($_.ForwardTo -ne $null) -or ($_.ForwardAsAttachmentTo -ne $null)
}
if ($MailboxWithRule -ne $Null)
{
Write-Host ”Användaren $($Mailbox.PrimarySmtpAddress) har reglerna:” $MailboxWithRule |
fl Name, Identity, RedirectTo, ForwardTo, ForwardAsAttachmentTo
}
}

Som slutanvändare kan man själv hålla ett öga på vilka regler som finns via Outlook Web Access under Settings > View all Outlook settings > Rules eller i e-postklienten genom att, i Outlook, klicka på File och välj Manage Rules & Alerts för att visa aktiva regler.

Kategorier
News Phishing Tech

Enklare att simulera phishing i Office 365

Snart blir det både enklare och säkrare att tillåta Phishing-tester från Nimblr i Office 365-miljö. Microsoft har lyssnar på sina kunder och kommer under juni/juli månad implementera en ny och bättre metod för att tillåta phishing-simuleringar från Nimblr och andra tredjepartsleverantörer.

Detta nya sätt att hantera phishing-simuleringar från tredjepartsleverantörer och s.k. ”security operations mailboxes” är enklare och erbjuder större förutsägbarhet för säkerhetsteam. Det som gör den här funktionen mest betydelsefull är att det blir lättare för säkerhets- och e-postadministratörer att vara säker på att deras ETR-regler inte påverkar skyddet för användarna, och att den befriar dem från att behöva inspektera alla sina ETR-regler manuellt för att garantera det säkerheten.

Den nya funktionaliteten har Roadmap ID 72207 och beskrivs i Microsofts dokumentation.

Nimblr kommer erbjuda en guide för den nya konfigurationen så snart Microsoft rullat ut funktionen. Utrullningen är planerad i Juni-Juli 2021.

Läs mer om Nimblrs Phishing-simuleringar här!

Kategorier
Tech

SPF till alla!

Ropen skalla! SPF till alla! Du vet väl om att du kan begränsa möjligheterna att förfalska e-post från dina adresser och domäner helt kostnadsfritt? Genom att tillföra ett SPF-record (Sender Policy Framework) i din DNS specificerar du vilka IP-nummer och servrar som har rätt att skicka e-post i ditt namn.

Idén är mycket enkel – genom att specificera vilka servrar och IP-nummer som tillåts skicka e-post från din domän ger man mottagaren en möjlighet att kontrollera om e-post från din domän verkligen kommer från en server eller IP-nummer som du godkänt som avsändare i din DNS. De flesta större e-post-tjänster gör en sådan kontroll på all inkommande e-post.

Ett SPF-record kan se ut t.ex. så här:

”v=spf1 ip4:192.168.0.1/16 -all”

Ovan SPF-record specifiecerar att e-post från domänen (där SPF-record upprättas) får skickas från alla IP-adresser mellan 192.168.0.1 och 192.168.255.255.

SPF-record för domänen nimblr.net ser ut så här:

”v=spf1 include:_spf.google.com include:sendgrid.net -all”

Ovan SPF-record tillåter Google’s servrar och e-posttjänsten SendGrid att skicka e-post med vårat domännamn som avsändare. Genom att avsluta med ”-all” berättar vi för de mottagare som kontrollerar vårs SPF-record att e-post från andra servrar än de angivna ska läggas i skräppostmappen eller avvisas.

Läs mer om SPF, syntaxen och projektet här: www.open-spf.org

Det finns metoder för att kringgå SPF-kontroller men om alla domäner hade ett SPF-record hade det varit betydligt krångligare att förfalska e-post, så vad väntar du på!?

Nimblr Security Awareness är en onlinebaserad utbildningsplattform designad för att stärka slutanvändarnas säkerhetsmedvetande och minimera risken för fullbordade angrepp. Utbildningsprogrammet bygger på en holistisk inlärningsmodell och uppdateras löpande med intelligent teknologi, smarta illustrationer, expertkompetens om IT-säkerhet och modern pedagogik.