Een praktijkvoorbeeld: hoe een schijnbaar onschuldige phishingmail leidde tot een kettingreactie van problemen

Phishing. Een van de meest voorkomende aanvalstechnieken in de cybersecuritywereld – en tegelijkertijd een van de meest onderschatte. Zoals we in dit scenario gaan zien, kan zelfs de meest ervaren medewerker slachtoffer worden van een slimme aanval. Bij Sentry Team zien we van dichtbij hoe deze aanvallen zich in de praktijk ontwikkelen en hoe ze enorme impact kunnen hebben. In deze blog nemen we u mee in een praktijkvoorbeeld dat laat zien hoe een kleine misstap kan uitgroeien tot een grootschalig beveiligingsincident. Belangrijker nog, we laten zien hoe wij zulke situaties aanpakken en wat uw organisatie kan doen om deze risico's te minimaliseren.

Het incident: een overtuigende phishingaanval

Op een maandagochtend kreeg de IT-afdeling van een middelgroot adviesbureau een telefoontje van Marieke, een medewerker die zich zorgen maakte over een verdachte e-mail. De e-mail leek afkomstig van haar collega Mark, compleet met huisstijl en een link naar een zogenaamd ‘beveiligde portal’. Omdat Marieke eerder die ochtend zelf contact met Mark had gehad, leek de timing perfect. Toch voelde iets niet goed. Toen ze Mark belde, bleek hij de mail nooit te hebben gestuurd. Marieke schakelde direct de IT-afdeling in.

Wat Marieke niet wist, was dat Mark enkele weken eerder al slachtoffer was geworden van een vergelijkbare phishingaanval. Hij had wel doorgeklikt en zijn inloggegevens ingevoerd op een malafide website, en daarmee de deur opengezet voor een cybercrimineel. Wat volgde, was een zorgvuldig geplande aanval die weken later pas aan het licht kwam.

De aanval: stap voor stap

De cybercrimineel ging systematisch te werk:

1. Phishingmail en inloggegevens: Mark ontving een overtuigende phishingmail en voerde zijn zakelijke inloggegevens in op een nepportal. Hij moest zelfs zijn aanmelding bevestigen met Multi-Factor Authenticatie (MFA). Door deze acties gaf hij onbewust toegang tot zijn websessiecookie waar zijn authenticatietoken werd onthouden.

2. Toegang tot de zakelijke omgeving: De aanvaller gebruikte de sessiecookie om toegang te krijgen tot Marks e-mailomgeving.

3. Registratie van een mailclient app in de cloudomgeving: de aanvaller  heeft een externe mailclient geregistreerd als gebruiker Mark en heeft daarmee mailbox van Mark lokaal gesynchroniseerd. . .

• Persistentie: De aanvaller heeft vervolgens een nieuwe MFA-aanmeldingsmethode toegevoegd om persistentie te behouden zonder een sessiecookie.

4. Exfiltratie van gegevens: Na de verkenning van Marks mailbox werden alle e-mails, contactpersonen en bijlagen gekopieerd. De aanvaller kreeg hierdoor inzicht in de bedrijfsstructuur, lopende projecten en gevoelige gegevens.

5. Slimme Outlook-regels: Om detectie te voorkomen, werden regels aangemaakt die mailwisselingen verplaatsten naar minder vaak gelezen mappen. Hierdoor bleef de ongeautoriseerde mailcommunicatie verborgen.

6. Verspreiding via een nieuwe phishing campagne: Vanuit Marks mailbox werd een nieuwe phishingmail verstuurd naar alle contacten. Gelukkig reageerde Marieke snel, waardoor verdere schade werd voorkomen.

Onze aanpak: snelle en grondige respons

Toen het incident werd gemeld, schakelden we onmiddellijk ons response-team in. Onze aanpak bestond uit de volgende stappen:

1. Directe acties om schade te beperken:

• We hebben alle wachtwoorden, bestaande tokens en MFA-sessies van medewerkers direct gereset.
• De geregistreerde MFA-aanmeldmethode van de aanvaller werd verwijderd.
• De geregistreerde mailclient app werd gedetecteerd en uitgeschakeld.
• Schadelijke Outlook-regels werden opgespoord en verwijderd.
• De domeinen die waren gebruikt voor de phishing-aanval werden geblokkeerd.

2. Analyse en onderzoek:

• Met behulp van logbestanden herleidden we de eerste inlogpogingen en de activiteiten van de aanvaller.
• De gebruikte IP-adressen werden onderzocht en geblokkeerd.
• We brachten de tijdlijn en technieken van de aanval nauwkeurig in kaart.

3. Communicatie met betrokkenen:

• Alle contacten die de phishingmail hadden ontvangen, werden gewaarschuwd.
• IT-teams van partners en klanten werden op de hoogte gesteld om verdere verspreiding te voorkomen.

4. Forensisch onderzoek:

• We legden alle activiteiten en bewijsmateriaal vast voor eventueel forensisch onderzoek.
• De gebruikte phishingmail werd geanalyseerd om toekomstige aanvallen beter te begrijpen.

5. Herstel en versterking:

• De genomen maatregelen werden doorgevoerd in alle omgevingen.
• We voerden een phishing-simulatie uit om medewerkers bewuster te maken van risico’s.

Wat jij kunt doen: vijf concrete stappen

Voorkomen is beter dan genezen. Terwijl Sentry Team direct heeft ingegrepen om de schade te beperken, is het essentieel dat organisaties preventieve maatregelen nemen om dergelijke incidenten te voorkomen. Hier zijn vijf concrete stappen die uw organisatie kan nemen:

1. Implementeer Multi-Factor Authenticatie (MFA) met Conditional Access Policy: Dit is een van de meest effectieve manieren om ongeautoriseerde toegang te voorkomen.

2. Bewustwordingstraining: Train medewerkers regelmatig om phishingmails te herkennen en maak van de medewerker een sterke schakel.

3. Gebruik e-mailfiltering en sandboxing: Moderne beveiligingstools kunnen veel phishingmails blokkeren voordat ze de inbox bereiken.

4. Monitoring en detectie: Zorg voor monitoring van afwijkend gedrag, zoals inlogpogingen vanuit ongebruikelijke locaties.

5. Incident Response Plan (IRP): Zorg dat je een duidelijk incidentresponsplan hebt en test dit regelmatig.

Samen sterker tegen cybercriminaliteit

Dit praktijkvoorbeeld laat zien dat zelfs goed opgeleide medewerkers slachtoffer kunnen worden van een goed uitgevoerde phishingaanval. Cybercriminelen worden steeds slimmer, en dat vraagt om een gezamenlijke inspanning om bedreigingen voor te blijven.

Bij Sentry Team geloven we in een proactieve aanpak: training, technische maatregelen en continue monitoring vormen samen de sleutel tot een veilige werkomgeving. Door snel te reageren en gericht maatregelen te treffen, zorgen we ervoor dat jouw organisatie beschermd is tegen de nieuwste dreigingen.

Wilt u weten hoe wij uw organisatie veiliger kunnen maken? Neem contact met ons op en laten we samen werken aan een veilige en veerkrachtige toekomst. Samen zorgen we ervoor dat cybercriminelen geen kans krijgen.