Algemeen
Dit alarm gaat af wanneer door een beheerder een transportregel wordt gemaakt die automatisch alle binnenkomende e-mail doorstuurt naar een extern e-mailadres.
Rationale
Het automatisch doorsturen van e-mails is een veelgebruikte tactiek van aanvallers nadat zij toegang hebben gekregen tot een mailbox. Het geeft ze de gelegenheid om mee te kijken met e-mailstromen en zo informatie te verzamelen die gebruikt kan worden voor misleiding.
Een veelvoorkomend voorbeeld daarvan is dat legitieme betaalverzoeken binnen de organisatie of aan externe partners worden gekopieerd om iemand te misleiden geld over te maken naar een foutieve bankrekening.
We spreken dan van CEO-fraude ofwel BEC (Business Email Compromise). De gemiddelde schade van CEO-fraude ligt rond de 50.000 Euro, aldus de FBI. Het treft veel organisaties en dus alle aanleiding om ertegen op te treden.
Tegelijkertijd is het goed mogelijk dat het doorsturen van e-mail door een medewerker bewust wordt gedaan, maar niet per sé te kwader trouw. Bijvoorbeeld om bepaalde e-mail elders te kunnen verwerken. Of worden e-mails automatisch doorgestuurd naar cloud-diensten. In die gevallen is het raadzaam om goed op te letten wie wat doorstuurt zodat geen datalekken ontstaan.
Opvolging
Voer deze stappen uit om deze detecie adequaat op te volgen.
- Neem contact op met de beheerder die de wijziging heeft uitgevoerd om te valideren dat de instelling om e-mails automatisch door te sturen bewust is aangepast.
- Zo nee: beschouw het beheerdersaccount dat de wijziging heeft uitgevoerd als gecompromitteerd:
- Reset het wachtwoord van de medewerker
- Trek alle ingelogde sessies in van de medewerker (revoke sessions)
- Verwijder de transportregel
- Overweeg een Attic Tier2 onderzoek uit te laten voeren om meer te weten te komen over de aanval (wie, wat, wanneer, waar, waarom, hoe?). Dit wordt zeker geadviseerd indien de uitvoerende gebruiker een ander persoon is dan de eigenaar van de mailbox.
- Zo ja: beoordeel of het doel van het doorsturen strijdig is met bedrijfsbeleid.
- Zo ja: verwijder de transportregel en geef uitleg aan medewerker(s)
- Zo nee: sluit het Attic incident af als in orde
- Zo nee: beschouw het beheerdersaccount dat de wijziging heeft uitgevoerd als gecompromitteerd:
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.