Algemeen
Dit alarm gaat af wanneer een mailbox wordt ingesteld om automatisch alle binnenkomende e-mail door te sturen naar een extern e-mailadres.
Rationale
Het automatisch doorsturen van e-mails is een veelgebruikte tactiek van aanvallers nadat zij toegang hebben gekregen tot een mailbox. Het geeft ze de gelegenheid om mee te kijken met e-mailstromen en zo informatie te verzamelen die gebruikt kan worden voor misleiding.
Een veelvoorkomend voorbeeld daarvan is dat legitieme betaalverzoeken binnen de organisatie of aan externe partners worden gekopieerd om iemand te misleiden geld over te maken naar een foutieve bankrekening.
We spreken dan van CEO-fraude ofwel BEC (Business Email Compromise). De gemiddelde schade van CEO-fraude ligt rond de 50.000 Euro, aldus de FBI. Het treft veel organisaties en dus alle aanleiding om ertegen op te treden.
Tegelijkertijd is het goed mogelijk dat het doorsturen van e-mail door een medewerker bewust wordt gedaan, maar niet per sé te kwader trouw. Bijvoorbeeld om bepaalde e-mail elders te kunnen verwerken. Of worden e-mails automatisch doorgestuurd naar cloud-diensten. In die gevallen is het raadzaam om goed op te letten wie wat doorstuurt zodat geen datalekken ontstaan.
Opvolging
Voer deze stappen uit om deze detecie adequaat op te volgen.
Allereerst is goed te beseffen dat deze wijziging kan zijn uitgevoerd door de medewerker die eigenaar is van de mailbox OF een andere medewerker met Exchange Beheerder rechten.
Attic geeft weer wie de wijziging heeft uitgevoerd en op welke mailbox die wijziging betrekking had.
- Neem contact op met de medewerker die de wijziging heeft uitgevoerd om te valideren dat de instelling om e-mails automatisch door te sturen bewust is aangepast.
-
Zo nee: beschouw het medewerkersaccount dat de wijziging heeft uitgevoerd als gecompromitteerd:
- Reset het wachtwoord van de medewerker
- Trek alle ingelogde sessies in van de medewerker (revoke sessions)
- Verwijder de doorstuurregel
- Overweeg een Attic Tier2 onderzoek uit te laten voeren om meer te weten te komen over de aanval (wie, wat, wanneer, waar, waarom, hoe?). Dit wordt zeker geadviseerd indien de uitvoerende gebruiker een ander persoon is dan de eigenaar van de mailbox.
-
Zo ja: beoordeel of het doel van het doorsturen strijdig is met bedrijfsbeleid.
- Zo ja: verwijder de doorstuurregel en geef uitleg aan medewerker(s)
- Zo nee: sluit het Attic incident af als in orde
-
Zo nee: beschouw het medewerkersaccount dat de wijziging heeft uitgevoerd als gecompromitteerd:
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.