Hoe bescherm ik mijn organisatie tegen veelgebruikte hack-methodes?

2 min Blog Lennard Kuijten 26 augustus 2019

Wellicht dat je de term “password spray attacks” wel eens gehoord of gelezen hebt. Bij een dergelijke aanval probeert een hacker wachtwoorden te raden. Dat doet zo iemand door met een grote hoeveelheid veel voorkomende wachtwoorden in te loggen. Dat kan met willekeurige gebruikersnamen gebeuren, of juist met een paar die heel bewust uitgezocht zijn. Van de crediteurenadministratie bijvoorbeeld.

Hoe komt zo’n hacker aan die gebruikersnamen? Dat gaat eigenlijk heel simpel. Mocht de hacker namelijk het e-mailadres van één medewerker weten, dan weet hij ook meteen hoe álle e-mailadressen van een organisatie zijn opgebouwd. Bijvoorbeeld als: voornaam.achternaam@bedrijf.nl. Vervolgens kijkt hij op een medium als LinkedIn wie er nog meer bij de organisatie werkzaam zijn. Hij zal zich dan vooral richten op medewerkers met de woorden Sales, Chief etc. in de functienaam.

Een andere mogelijkheid is dat de hacker een mailbox hackt en vervolgens het gehele interne adresboek van de organisatie downloadt. Dan is hij in bezit van alle e-mailadressen en vaak ook van andere nuttige informatie, zoals functies, adresgegevens en telefoonnummers van de gehele organisatie

Verouderde protocollen lopen hoog risico

Bijna 100% van alle passwordspray attacks worden uitgevoerd op de protocollen POP, IMAP en SMTP. Deze protocollen vallen onder de noemer “legacy authentication”. Dergelijke protocollen ondersteunen geen moderne authenticatieprocessen, zoals het vragen om een tweede factor (inlogtoken) of controleren of het gebruikte apparaat wel vertrouwd wordt door de organisatie. In plaats daarvan is het gebruik van gebruikersnaam en wachtwoord al voldoende om mee aan te melden.

Wat deze dagen vaak gebeurt, is dat een hacker via deze protocollen het wachtwoord van een gebruiker achterhaald en vervolgens een regel op de mailbox aanmaakt die alle mails doorstuurt naar een eigen extern e-mailadres. “Om dit heel concreet te maken: zodra er een mail met een factuur als bijlage wordt doorgestuurd, wijzigt de hacker in dat document simpelweg het bedrag en IBAN-nummer. Vervolgens stuurt hij vanuit die gehackte mailbox een nieuwe mail met daarin de vervalste factuur.

Of, de hacker creëert eerst nog een mailbox met een domeinnaam die lijkt op de domeinnaam van jouw organisatie. Zie jij bijvoorbeeld het verschil tussen lennard.kuijten@worteII.nl en lennard.kuijten@wortell.nl? Valt vies tegen, hè? Toch zijn deze adressen wel degelijk verschillend. Een van de twee is namelijk worteii.nl met de i als hoofdletter. Een nietsvermoedende ontvanger van zo’n mail zal dit ook niet snel doorhebben, en gewoon de factuur betalen waarmee gerommeld is. Tel uit “jouw” winst.

Wil je weten hoe wij dit doen en/of wil je weten of de toegang tot jouw Office 365 mail omgeving wel veilig is. Neem dan contact met ons op.

Cloud Security Scan: hoe veilig is jouw omgeving?

Lees het blog

Deel je enthousiasme