Cisco Talos publiceerde recent een blog over Phishing as a Service (PhaaS). Met deze tooling kunnen kwaadwillenden relatief eenvoudig phishingaanvallen uitvoeren. Een zwak ingerichte multi-factor authenticatie (MFA) helpt hier niet tegen. Voor nu lijkt deze dienst zich specifiek te richten op de diensten van Microsoft 365.
Bij een PhaaS-aanval wordt gebruik gemaakt van een proxyserver die de invoer van het slachtoffer afvangt via een neppe webpagina die identiek lijkt aan de officiële inlogpagina. Zo halen ze gevoelige gegevens op, zoals het e-mailadres, het wachtwoord en de MFA-code. De aanvaller krijgt de inloggegevens in realtime door. Hierdoor kan hij of zij inloggen en zich voordoen als de gebruiker, het account van het slachtoffer overnemen en zelfs de inlog- en beveiligingsgegevens aanpassen. Een aanval kan overigens alleen succesvol plaatsvinden als de aanvaller direct inlogt op het account, want MFA-codes verlopen na dertig seconden. Hierdoor heeft de aanvaller dus maar beperkt de tijd om in te loggen en het account te kapen.
Het gevaar van PhaaS
Wat PhaaS zo gevaarlijk maakt is dat de aanval niet via een website hoeft plaats te vinden. Een HTML-document is voldoende. De aanvaller kan bijvoorbeeld een HTML-document als bijlage meesturen met een e-mail. Zodra het slachtoffer deze bijlage opent wordt de webbrowser geopend en het bestand lokaal uitgevoerd. Daarnaast is het voor aanvallers mogelijk een kopie te maken van de echte inlogpagina van een organisatie, enkel door het opgeven van het webadres van de echte inlogpagina. Deze pagina’s zijn publiekelijk te benaderen. Hierdoor is een aanval op een specifieke organisatie nog gemakkelijker uit te voeren, omdat de neppe webpagina identiek is aan de echte inlogpagina van deze organisatie.
PhaaS-aanval in zes stappen
- Het slachtoffer ontvangt een e-mail met een HTML-document in de bijlage. De naam van het document doet vermoeden dat het bijvoorbeeld een factuur of intern document is.
- Zodra het slachtoffer de bijlage aanklikt wordt deze geopend in de webbrowser en lokaal uitgevoerd. Omdat bij deze aanval de inlogpagina van de organisatie nagemaakt is lijkt het erop alsof het slachtoffer opnieuw moet inloggen voor toegang tot het document.
- Omdat het hier om een gerichte aanval gaat is het e-mailadres van het slachtoffer vaak al ingevuld, waardoor het nóg meer op een echte inlogpoging van Microsoft 365 lijkt.
- Het slachtoffer vult diens wachtwoord in en meldt zich aan.
- Er komt een verificatiestap die om de MFA-code vraagt. Het slachtoffer vult deze in.
- De inloggegevens worden teruggestuurd naar de aanvaller, die vervolgens kan inloggen op het account van het slachtoffer en het account kan overnemen.
Een aanval herkennen
Bij een lokaal geopend HTML-document is er nooit sprake van een versleutelde verbinding. In de webbrowser zie je dus nooit het gesloten slotje naast de URL dat aangeeft dat de verbinding beveiligd en versleuteld is. In de adresbalk van de webbrowser is bovendien te zien dat het om een lokaal bestand gaat. Vooraan in de adresbalk staat altijd een uitroepteken met daarachter de vermelding dat het om een bestand gaat en niet om een website. Ook staat in de adresbalk het pad van het document. In de meeste gevallen begint deze met ‘C:\’. Ontvang je een bijlage en word je doorgestuurd naar een inlogpagina? Controleer de pagina dan op deze kenmerken. Let er tijdens het inloggen te allen tijde op of de website klopt.
Heb je hulp nodig?
Ons securityteam blijft continu op de hoogte van de belangrijkste ontwikkelingen op het gebied van IT-security, waaronder de nieuwste dreigingen. Zo zetten ze zich dagelijks in voor de veiligheid van de ICT-omgeving van onze klanten. Benieuwd wat ze voor jouw organisatie kunnen betekenen?