Algemeen
Dit alarm gaat af als een nieuwe doorstuurregel wordt aangemaakt in de mailbox binnen de organisatie. Dergelijke regels dienen om automatisch een handeling uit te voeren op bepaalde e-mails, en in dit geval is de handeling om de e-mail door te sturen naar een adres buiten de organisatie.
Rationale
Het automatisch doorsturen van e-mails is een veelgebruikte tactiek van aanvallers nadat zij toegang hebben gekregen tot een mailbox. Het geeft ze de gelegenheid om mee te kijken met e-mailstromen en zo informatie te verzamelen die gebruikt kan worden voor misleiding.
Een veelvoorkomend voorbeeld daarvan is dat legitieme betaalverzoeken binnen de organisatie of aan externe partners worden gekopieerd om iemand te misleiden geld over te maken naar een foutieve bankrekening.
We spreken dan van CEO-fraude ofwel BEC (Business Email Compromise). De gemiddelde schade van CEO-fraude ligt rond de 50.000 Euro, aldus de FBI. Het treft veel organisaties en dus alle aanleiding om ertegen op te treden.
Tegelijkertijd is het goed mogelijk dat het doorsturen van e-mail door een medewerker bewust wordt gedaan, maar niet per sé te kwader trouw. Bijvoorbeeld om bepaalde e-mail elders te kunnen verwerken. Of worden e-mails automatisch doorgestuurd naar cloud-diensten. In die gevallen is het raadzaam om goed op te letten wie wat doorstuurt zodat geen datalekken ontstaan.
Opvolging
Voer deze stappen uit om deze detecie adequaat op te volgen.
- Neem contact op met de medewerker om te valideren of de doorstuurregel bewust is aangemaakt.
-
Zo nee: beschouw het medewerkersaccount als gecompromitteerd:
- Reset het wachtwoord van de medewerker
- Trek alle ingelogde sessies in van de medewerker (revoke sessions)
- Verwijder de doorstuurregel
- Overweeg een Attic Tier2 onderzoek uit te laten voeren om meer te weten te komen over de aanval (wie, wat, wanneer, waar, waarom, hoe?)
-
Zo ja: beoordeel of het doel van de doorstuurregel strijdig is met bedrijfsbeleid.
- Zo ja: verwijder de doorstuurregel en geef uitleg aan medewerker(s)
- Zo nee: sluit het Attic incident af als in orde
-
Zo nee: beschouw het medewerkersaccount als gecompromitteerd:
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.