Jacht op office 365-accounts

Office 365 is een van de meest gebruikte Cloud-samenwerkingsplatforms onder bedrijven. Door de sterke toename van thuiswerkers zijn het aantal Office 365-accounts flink verhoogd. Dit heeft de aandacht van cybercriminelen getrokken. Benieuwd hoe de cybercriminelen te werk gaan? De meest voorkomende trucs lees je in dit artikel!

Erwin
Hotting

Het idee is eenvoudig: cybercriminelen lokken je naar een valse Office 365-loginpagina waar je jouw inloggegevens in moet voeren. Het gaat hier dus eigenlijk om phishing. De specifieke methodes die aanvallers gebruiken om gebruikersnamen en wachtwoorden te verkrijgen variëren, maar we beschrijven hier de meest voorkomende trucs.

 

Valse Teams-berichten

Aanvallers gebruiken urgentie-berichten, in de vorm van een teams-bericht, in de hoop dat de ontvanger in alle haast geen onregelmatigheden opmerkt. De algemene strekking van zo’n bericht is vaak iets in de trend van een dringende deadline waardoor het slachtoffer op de knop “Reply in Teams” klikt en op een valse inlogpagina belandt.

office-365-credentials-hunt-example1-teams.jpgVals Teams-bericht. Bericht en loginpagina

Een professionele aanvaller zal de naam en foto van een echte collega in de melding verwerken. Maar het is vaker zo dat dit een abstract persoon is. De cybercriminelen gaan er veelal vanuit dat de dringende melding van een onbekend iemand de ongerustheid van het slachtoffer aanwakkert, waardoor ze op de knop klikken.

 

Melding over mislukte verzending

Een andere manier waarop je account gehackt kan worden is door de melding van een bericht dat niet bij jou is afgeleverd. Je zou zogenaamd een mail binnen hebben van een zender, maar je domein heeft deze mail geblokkeerd. Via een link kun je opnieuw inloggen (waardoor je je gegevens achter laat) en de mail deblokkeren. Het is belangrijk om op te merken dat het juist de verzenders, en niet de ontvangers zijn die een melding ontvangen als een bericht niet is afgeleverd. 

Valse melding over mislukte verzending. Bericht en loginpagina.

 

Melding over volle mailbox

‘Je kunt geen mails meer ontvangen omdat je mailbox vol zit.’ - simpelweg nog een manier om werknemers te overtuigen in alle paniek een link aan te klikken. Er is een keuze om de berichten te verwijderen of te downloaden. Meestal wordt er voor de laatste optie gekozen en dus op de knop met “Klik hier” geklikt. Let goed op of de inlogpagina er realistisch uitziet. Meestal wordt er door hackers geen moeite gedaan om enigszins overtuigend zakelijk Engels te gebruiken. 

office-365-credentials-hunt-example3.1-quota-exceed.jpgValse melding over volle mailbox Bericht en loginpagina.

 

Melding over verlopen wachtwoord

Het wijzigen van een wachtwoord is heel gebruikelijk. Het bedrijfsbeleid zou dit regelmatig verplicht moeten stellen, en de beveiligingsafdeling kan dit ook vragen als voorzorgsmaatregel tegen een mogelijk lek. Wanneer je een nieuw wachtwoord instelt, moet je natuurlijk ook het oude wachtwoord invoeren. Daarom zijn verzoeken tot het wijzigen van wachtwoorden ook erg populair onder allerlei soorten phishing-mails. Echter, let goed op de login-pagina: deze zijn door hackers veelal niet professioneel opgemaakt.

office-365-credentials-hunt-example4-password-expired.jpgValse melding over verlopen wachtwoord. Bericht en loginpagina.

 

Hoe zorg je ervoor dat je hier niet intrapt?

Elke pagina die om aan werk gerelateerde inloggegevens vraagt moet goed onderzocht worden, vooral als het lijkt alsof het iets dringends is. We hebben 3 adviezen voor jou en je collega’s:

  • Controleer altijd het adres van pagina’s die om inloggegevens vragen. Afhankelijk van de dienst kunnen legitieme inlogpagina’s zijn: microsoftonline.com, outlook.office.com, onmicrosoft.com zijn, of de domeinnaam van jouw bedrijf;
  • Gebruik een robuuste beveiligingsoplossing in het hele bedrijf om dit soort phishing-mails te blokkeren;
  • Train je medewerkers in het erkennen van bovenstaande signalen, lees hier meer.

kl_United_Gold_Partner.png

Bron: Kaspersky