Microsoft is een magneet voor phishingaanvallen: dit kunnen bedrijven doen om hun gevoelige e-mailinhoud te beschermen

Phishing-aanvallen kunnen een verwoestende impact hebben op bedrijven, met financiële verliezen, reputatieschade en juridische aansprakelijkheden als gevolg. Bovendien worden phishing-aanvallen steeds complexer, waarbij hackers geavanceerde technieken inzetten zoals spear phishing, vishing en smishing om specifieke personen en organisaties te targeten.

Een softwareplatform dat bijzonder populair is gebleken voor phishing-aanvallen is Microsoft Office. In deze Blog Post verkennen we de phishingrisico’s waarmee bedrijven te maken krijgen bij het gebruik van Microsoft Outlook, en bespreken we hoe bedrijven zich kunnen beschermen tegen gerichte phishing- en whaling-aanvallen die vertrouwelijke e-mailcommunicatie en andere gevoelige inhoud dreigen bloot te leggen.

De verwoestende impact van phishing op bedrijven

Phishing blijft jaar na jaar een lucratief en veelgebruikt aanvalskanaal voor tegenstanders. Volgens het Mandiant Special Report M-Tends 2023 was phishing in 2022 opnieuw het op één na meest gebruikte kanaal voor initiële infectie bij inbraken, goed voor 22% van de inbraken waarbij het initiële infectiekanaal werd vastgesteld. Dit is een stijging ten opzichte van 12% van de inbraken in 2021.

Het Netwrix 2023 Hybrid Security Trends Report stelt vast dat 68% van de organisaties in de afgelopen 12 maanden een cyberaanval heeft ondergaan; phishing is het meest voorkomende aanvalskanaal. Phishing blijft het meest gebruikte aanvalskanaal. In het rapport merkt Dirk Schrader, VP Security Research bij Netwrix, op: “Phishing-e-mails waren vroeger gemakkelijk te herkennen door grammaticale en spelfouten en duidelijk onjuiste afbeeldingen. Maar met de komst van AI-tools zoals ChatGPT kunnen kwaadwillenden snel goed geformuleerde berichten maken, waaronder spear-phishingberichten die zich richten op specifieke personen, waardoor meer ontvangers waarschijnlijk op kwaadaardige links klikken of geïnfecteerde bijlagen openen.”

Hoe werkt een phishingaanval?

Om de risico’s van phishing te begrijpen, overweeg dit fictieve scenario. William Morgan, een lid van het financiële team bij Tiger Manufacturing, ontvangt een e-mail van wat hij dacht dat Microsoft was, waarin zijn Microsoft 365-inloggegevens werden gevraagd voor een systeemupgrade.

Ondanks het verdachte karakter van de e-mail geeft William zijn inloggegevens, waardoor hackers toegang krijgen tot zijn volledige Microsoft Outlook-inbox. De hacker registreert vervolgens meerdere domeinnamen bij GoDaddy die licht afwijken van het domein van Tiger Manufacturing (bijv. Tigger Manufacturing, Tiger Manufactering, Tiger Manufcaturing, enz.). De hacker registreert vervolgens diverse Microsoft Office 365-proefaccounts op deze nep-domeinen.

De hacker gebruikt de proefaccounts om phishing-e-mails te sturen naar klanten van Tiger Manufacturing met frauduleuze facturen en bankgegevens. Sommige klanten trappen in de scam en maken geld over naar een Duitse rekening. De hacker kiest voor een Duitse rekening omdat Microsoft een Duits postbusadres als legitiem beschouwt.

Joseph, de chief information security officer (CISO) van Tiger, herkent de weinig complexe, maar toch succesvolle tactieken van de aanvaller en stelt GoDaddy en Microsoft direct op de hoogte. GoDaddy negeert zijn meldingen en Microsoft bevriest uiteindelijk de gratis proefaccounts na meerdere verzoeken.

Hoewel Microsoft de proefaccounts bevriest, geven ze de syslog-details niet vrij die hadden kunnen aantonen welke specifieke bestanden en e-mails de aanvaller uit Williams Outlook-inbox heeft gedownload. Hierdoor weet Tiger Manufacturing niet precies wat de volledige omvang van de aanval is, en zijn ze verplicht het zekere voor het onzekere te nemen en iedere klant te informeren die mogelijk getroffen is.

Verwacht niet dat Microsoft je beschermt tegen phishingaanvallen

Allereerst is Microsoft een softwarebedrijf dat zich richt op het verhogen van de productiviteit van werknemers. Hoewel het bedrijf beweert dat beveiliging een topprioriteit is, is productiviteit de absolute prioriteit. Met bijna 350 miljoen wereldwijde Microsoft Office 365-gebruikers kan Microsoft onmogelijk al deze gebruikers beschermen. Het platform zal daarom altijd vatbaar blijven voor phishing.

Hoewel Tiger Manufacturing een fictief bedrijf is, worden bedrijven dagelijks getroffen door phishingaanvallen, ongeacht hun grootte, sector of locatie. In feite werden eind 2023 honderden gecompromitteerde Microsoft Office 365-gebruikersaccounts geïdentificeerd in tientallen Microsoft Azure-omgevingen. Veel van deze accounts behoorden toe aan senior executives met titels als President/CEO, CFO/Penningmeester, Sales Director, Finance Manager en meer. Senior executives zijn populaire phishingdoelen omdat zij doorgaans toegang hebben tot gevoelige informatie die gestolen en te gelde gemaakt kan worden.

De phishingcampagne verleidde executives om op “View Document”-knoppen te klikken die slachtoffers doorstuurden naar pagina’s waar om hun accountgegevens werd gevraagd, waardoor hackers toegang kregen tot gevoelige bedrijfs-, financiële en systeeminformatie.

Uiteindelijk kunnen bedrijven niet vertrouwen op Microsoft om phishingaanvallen en accountovernames te voorkomen, te identificeren of te herstellen.

Variaties van phishingaanvallen

Phishingaanvallen worden steeds complexer doordat hackers steeds geavanceerdere technieken inzetten, zoals social engineering, spoofing en malware. Social engineering maakt gebruik van psychologische manipulatie om het slachtoffer gevoelige informatie te laten prijsgeven, terwijl spoofing de oorsprong van een bericht verbergt om het legitiem te laten lijken. Malware kan worden ingezet om het apparaat van het slachtoffer te infecteren en informatie te stelen of controle over het apparaat te krijgen.

Phishingaanvallen komen in diverse vormen voor, elk ontworpen om mensen te misleiden tot het prijsgeven van gevoelige informatie of het uitvoeren van acties die hun persoonlijk identificeerbare informatie of beschermde gezondheidsinformatie (PII/PHI), klantgegevens, financiële data, intellectueel eigendom of andere gevoelige informatie in gevaar kunnen brengen. Naast whaling zijn er andere soorten phishing, waaronder:

1. Whaling: Topbestuurders targeten voor gevoelige informatie

Whaling, zoals hierboven te zien was bij de recente aanval op Microsoft Azure, is een gerichte vorm van phishing waarbij cybercriminelen proberen toegang te krijgen tot gevoelige informatie van hooggeplaatste personen zoals CEO’s, CFO’s of andere topbestuurders. Deze executives zijn bijzonder kwetsbaar voor whaling-aanvallen, omdat zij vaak toegang hebben tot meer gevoelige informatie en minder vaak getraind zijn in cyberbeveiliging beste practices.

De aanvallers gebruiken social engineering-tactieken vermomd als legitiem ogende e-mails die afkomstig lijken van andere senior executives of vertrouwde bronnen. Als de aanval slaagt, klikt de executive op een kwaadaardige link, geeft inloggegevens van een bedrijfskritische applicatie of verstuurt vertrouwelijke documenten. Whaling-aanvallen zijn vaak complex en goed doordacht, waardoor ze lastig te detecteren en te voorkomen zijn. Het is daarom cruciaal dat organisaties en hun medewerkers waakzaam blijven en passende maatregelen nemen om hun gevoelige informatie tegen dit soort aanvallen te beschermen.

2. Misleidende e-mailphishing: Bekende maar valse identiteiten gebruiken

Misleidende e-mailphishing is een van de meest voorkomende vormen van phishing. Bij een misleidende e-mailphishingaanval stuurt een aanvaller een e-mail die afkomstig lijkt van legitieme organisaties of bekende personen. De e-mail bevat een link naar een nepwebsite die lijkt op de echte, en vraagt de gebruiker om vertrouwelijke informatie zoals wachtwoorden, accountnummers of creditcardgegevens. De e-mail kan ook een bijlage bevatten die, zodra deze wordt gedownload, malware op de computer of het apparaat van het slachtoffer installeert.

3. Spear phishing: Gericht op een specifiek doelwit

Spear phishing is een geavanceerdere vorm van phishing die zich richt op een specifiek individu of groep, in tegenstelling tot de bredere, ‘hagel’-aanpak van phishing. Bij een spear-phishingaanval verzamelt een aanvaller persoonlijke informatie over een doelwit en gebruikt deze om een gepersonaliseerd bericht te maken dat de kans op succes vergroot. De e-mail kan vragen om specifieke informatie, inloggegevens of bevat een link naar een nepwebsite of een kwaadaardige bijlage.

4. Smishing: Phishing via sms

Smishing is een vorm van phishing waarbij sms-berichten worden gebruikt om gebruikers te misleiden tot het verstrekken van gevoelige informatie of het downloaden van malware. Het bericht lijkt afkomstig van een legitieme bron, zoals een bank of dienstverlener, en vraagt de gebruiker om persoonlijke informatie of om op een link naar een frauduleuze website te klikken.

5. Vishing: Phishing via telefoon

Vishing is een andere vorm van phishing waarbij telefoongesprekken in plaats van e-mails of sms’jes worden gebruikt om gebruikers te misleiden tot het prijsgeven van gevoelige informatie of het uitvoeren van handelingen die ze normaal niet zouden doen, zoals het overmaken van geld. Bij een vishingaanval doet een aanvaller zich voor als een bank of dienstverlener en gebruikt hij tactieken om het slachtoffer te overtuigen vertrouwelijke informatie te geven of geld over te maken.

6. Clone phishing: Legitieme e-mails manipuleren

Clone phishing is een type phishingaanval waarbij aanvallers een legitieme e-mail dupliceren of klonen, vaak met dezelfde inhoud, maar met andere—en vaak kwaadaardige—links en bijlagen. De e-mail lijkt afkomstig van een vertrouwde bron, zoals een bank of dienstverlener, en vraagt het slachtoffer om persoonlijke of gevoelige informatie.

7. Pharming: Slachtoffers misleiden met frauduleuze websites

Pharming is een vorm van phishing waarbij aanvallers gebruikers omleiden naar een nepwebsite die legitiem lijkt. De website is ontworpen om inloggegevens of financiële informatie van het slachtoffer te stelen. Aanvallers kunnen malware of DNS-spoofing gebruiken om het slachtoffer naar de nepwebsite te leiden.

8. Business Email Compromise (BEC): Een vertrouwde collega imiteren

BEC is een type phishingaanval waarbij een aanvaller zich voordoet als een vertrouwde collega, partner of leverancier om slachtoffers te misleiden tot het overmaken van geld of delen van gevoelige informatie. Bij een business email compromise-aanval kan een aanvaller een frauduleus e-mailadres gebruiken (zoals in het fictieve Tiger Manufacturing-scenario hierboven) en om een dringende actie vragen, zoals een overboeking of het wijzigen van accountinformatie. Dit type phishingaanval kan leiden tot aanzienlijke financiële verliezen of datalekken.

De cyberbeveiligingsgaten in Microsofts harnas: phishingaanvallen eenvoudig gemaakt

Microsoft staat wereldwijd bekend om zijn productiviteitstools die door miljoenen mensen en bedrijven worden gebruikt. De verdedigbaarheid van deze producten schiet echter soms tekort. Er zijn namelijk diverse gaten in het Microsoft Office 365-platform die het kwetsbaar maken voor phishingaanvallen. Hier zijn enkele voorbeelden:

Gebrekkig inzicht in bestandsactiviteit creëert governance-gaten

Een groot Office 365-gat is het gebrek aan inzicht in extern delen van inhoud, namelijk wie welke inhoud met wie deelt. Organisaties kunnen intellectueel eigendom, PII, PHI, verkoopcontracten, financiële gegevens en andere gevoelige informatie niet adequaat beschermen als ze niet weten waar het is opgeslagen, wie er toegang toe heeft of met wie het wordt gedeeld. Dit inzicht is essentieel voor inhoudsbeheer, bescherming en naleving van regelgeving. Veel bedrijven vertrouwen op Office 365 om documenten te delen en samen te werken met derden via OneDrive en SharePoint Online, maar deze applicaties bieden onvoldoende inzicht. Door onvoldoende zichtbaarheid en rapportage vergroten organisaties hun risico op een datalek, datalekken of een compliance-overtreding.

Slechte URL-filtering nodigt uit tot pharmingaanvallen

De Exchange Online- en SharePoint Online-applicaties van Microsoft missen een robuust URL-filteringsysteem. E-mail en bestandsoverdracht via deze applicaties kunnen eenvoudig worden gedupliceerd, waardoor gebruikers denken dat ze met een vertrouwde bron te maken hebben. Hackers kunnen dit gat uitbuiten door phishing-e-mails te sturen of kwaadaardige bestanden toe te voegen die, zodra ze worden geopend, het apparaat van de gebruiker infecteren of hun inloggegevens stelen.

Zero-trust-problemen: gebrek aan multi-factor authentication veroorzaakt een opvallend beveiligingsgat

Het ontbreken van zero-trust-principes bij Microsoft laat klanten kwetsbaar voor ongeautoriseerde toegang. Door het ontbreken van multi-factor authentication in Microsoft-applicaties kunnen cybercriminelen dit gat uitbuiten via credential stuffing, brute-force-aanvallen of phishing om het wachtwoord van een gebruiker te achterhalen. Vervolgens gebruiken ze de inloggegevens van de gebruiker om gevoelige inhoud te verzamelen waartoe ze toegang hebben. Microsoft stopt bij single-factor encryptie, waardoor organisaties kwetsbaar blijven na een geslaagde phishingaanval. Zonder een tweede factor om de legitimiteit van de gebruiker te verifiëren, kunnen cybercriminelen eenvoudig dit beveiligingsgat misbruiken om toegang te krijgen tot gevoelige inhoud. Security architects moeten er daarom van uitgaan dat sommige phishingaanvallen zullen slagen. Ze moeten multi-factor authentication in andere systemen en applicaties implementeren om de schade van ongeautoriseerde toegang te beperken.

Microsofts e-mailbeveiligingsgaten nodigen uit tot phishingaanvallen

De e-mailbeveiligingsmaatregelen van Microsoft zijn niet zo robuust als ze zouden moeten zijn. Hoewel Exchange Online Protection (EOP) van Microsoft enige bescherming biedt tegen spam en virussen, detecteert het veel phishingaanvallen niet. Microsoft’s advanced threat protection (ATP) is een extra dienst voor EOP, die mogelijk zero-day-malware kan detecteren die naar gebruikers wordt gestuurd als onderdeel van een phishingaanval, maar alleen voor klanten die extra betalen voor deze service.

Kiteworks sluit Microsoft-beveiligingsgaten en kwetsbaarheden om bedrijven te beschermen tegen phishingaanvallen, datalekken en compliance-overtredingen

Het Kiteworks Private Content Network biedt organisaties een beveiligde e-mailoplossing die het risico op phishingaanvallen, datalekken en compliance-overtredingen beperkt. Met Kiteworks secure email elimineren bedrijven vrijwel het risico op phishing-e-mails. Dit komt doordat Kiteworks een gesloten, alleen-op-uitnodiging systeem is. In tegenstelling tot traditionele e-mailplatforms, waarbij iedereen een e-mail naar iedereen kan sturen, accepteert Kiteworks alleen e-mails van geautoriseerde personen. Phishingaanvallen zoals business email compromise, clone phishing, spear phishing en whaling, evenals spam en andere online scams, zijn daardoor vrijwel onmogelijk om door te komen.

Kiteworks biedt ook uitgebreide authenticatie- en gebruikersbeheerfuncties, waaronder eenmalige toegangscodes (OTP) via elke SMS-dienst zoals Twilio, CLX, CM en FoxBox, evenals een tijdgebaseerde eenmalige wachtwoord (TOTP) authenticator die soft tokens ondersteunt van authenticator-apps zoals Google Authenticator, Microsoft Authenticator en Authy. Kiteworks kan ook vereisen dat eenmalige gebruikers, zoals e-mailontvangers, zich authenticeren via een SMS-code om te garanderen dat alleen geautoriseerde gebruikers toegang krijgen tot gevoelige e-mailinhoud.

Met Kiteworks kunnen bedrijven alle bestandsoverdrachten en het gebruik binnen de organisatie monitoren. Dit inzicht zorgt ervoor dat verdachte activiteiten zoals mislukte inlogpogingen, inloggen vanaf een onbekend IP-adres en verdachte downloads snel worden gedetecteerd, zodat er snel actie kan worden ondernomen om potentiële risico’s te beperken. Daarnaast integreert Kiteworks met toonaangevende enterprise data loss prevention (DLP)-oplossingen, zodat als een aanvaller de inloggegevens van een medewerker bemachtigt en probeert gevoelige inhoud via e-mail of bestandsoverdracht te exfiltreren, de DLP-oplossing de poging waarschijnlijk markeert en de overdracht blokkeert.

Kiteworks biedt ook een Microsoft Outlook-plugin waarmee medewerkers van bedrijven hun bestaande Microsoft e-mailapplicatie kunnen blijven gebruiken, maar dan met alle beveiligings- en compliancefuncties van Kiteworks. Met de plugin gebruiken medewerkers een applicatie, Microsoft Office, waarmee ze al vertrouwd zijn, zodat adoptie en gebruik geen probleem vormen. E-mails worden verzonden en ontvangen via het Kiteworks Private Content Network, een gesloten netwerk waar klanten, partners, leveranciers en andere vertrouwde derden voor moeten worden uitgenodigd. E-mails en hun bijlagen worden versleuteld tijdens verzending en opslag, en elk bestand wordt gevolgd en gelogd.

Het gesloten e-mailsysteem van Kiteworks, versterkt door MFA, inzicht in bestandsactiviteit en DLP, elimineert phishingrisico’s vrijwel volledig. Inhoudsbeveiliging, governance en compliance worden verder versterkt door een contentgedefinieerde zero-trust-aanpak die ervoor zorgt dat alleen geautoriseerde gebruikers toegang krijgen tot gevoelige data. Dit omvat een hardened virtual appliance en flexibele, veilige inzetopties, waaronder on-premises, private cloud en een FedRAMP virtual private cloud. Tot slot kunnen bedrijven met granulaire toegangscontroles, rolgebaseerde permissies en integratie met identity and access management (IAM) erop vertrouwen dat hun gevoelige e-mailinhoud vertrouwelijk blijft.

Plan vandaag nog een aangepaste demo en ontdek meer over de beveiligde e-mailmogelijkheden van Kiteworks.