web-dev-qa-db-fra.com

Règle de perspectives pour transmettre tous les emails - est-ce une arnaque commune?

Récemment, nous avons eu un problème de sécurité. Un compte de messagerie basé sur MS Exchange 365 a été piraté et le pirate informatique a transmis tous les courriels par règle à un compte Gmail.

J'ai vérifié tous les PC concernés et je n'ai trouvé aucun virus. Et j'ai changé les mots de passe. Mais dans ce cas, la modification des mots de passe n'a rien changé car la règle qui a transféré tous les courriels a également fonctionné après avoir changé les mots de passe. Le transfert ne s'est arrêté qu'une fois que j'ai découvert qu'une telle règle était configurée, puis j'ai supprimé la règle.

Quelle est la fréquence de ce piratage? Je n'ai jamais entendu ni lu à ce sujet avant. C'est aussi toujours un mystère pour moi comment l'attaquant a accédé au compte de messagerie. Il a probablement volé le mot de passe quelque part, mais je ne peux pas comprendre comment.

3
Edgar

Dans mon expérience professionnelle, ce n'est pas une étape commune des "pirates". Cependant, je n'ai pas de chiffres difficiles à soutenir cela, alors je ne prendrais donc pas cette déclaration comme rien de plus que des preuves anecdotiques.

Cependant, il vaut la peine d'indiquer l'évidence pourquoi le pirate informatique a fait cela. Ce qu'il va vraiment, c'est que l'attaquant a utilisé cela, efficacement, en tant que porte-backdoor caché pour continuer à maintenir l'accès même après la découverte initiale. En effet, c'est ce qui s'est passé, car l'attaquant a continué d'obtenir des copies de tous les courriels, même après avoir réinitialisé le mot de passe sur le compte de messagerie. Travailler sur l'hypothèse selon laquelle ce scénario d'attaque est moins courant, cela suggère que cela pourrait être une attaque plus ciblée, qui vaut la peine d'être examinée.

Le fait que le pirate informatique ait pris cette étape supplémentaire signifie qu'ils étaient intéressés non seulement dans le plein accès au compte, mais qu'ils étaient également intéressés par l'accès en lecture seule aux courriels entrants. Il y a trois utilisations principales que je peux penser à un accès en lecture seule à un email d'un utilisateur:

1. compromettre les comptes supplémentaires

Tant qu'ils reçoivent une copie de tous les courriels, ils peuvent réinitialiser le mot de passe pour tous les comptes tiers que l'adresse e-mail concernée est enregistrée. Après tout, il suffit généralement de "réinitialiser" le lien pour réinitialiser un mot de passe, et s'ils déclenchent une réinitialisation du mot de passe, ils obtiendront également une copie du lien. Ils ne seront plus en mesure de supprimer le courrier électronique de réinitialisation dans la boîte de réception d'origine, ce qui pourrait causer des soupçons, mais cela ne les empêchera pas de réinitialiser l'accès du compte de toute façon - cela pourrait simplement signifier qu'ils se font prendre plus rapidement.

Si vous avez découvert le piratage parce que l'attaquant a utilisé leur accès à une pause dans d'autres comptes, cette règle à terme peut simplement être une tentative d'étendre leur accès et de permettre d'autres "dommages" même après la découverte initiale. C'est probablement le scénario le moins pénible (pour vous).

2. Intercepter les transactions commerciales (fraude de mandat alias)

Une arnaque que j'ai entendue est des attaquants interceptant des transactions commerciales légitimes en ayant accès aux informations internes de l'équipe de facturation, généralement pour des transactions plus importantes. Pour choisir un exemple aléatoire, imaginez que vous étiez une entreprise de toiture et la personne qui possède cette adresse électronique est sur l'équipe de facturation. Ils courrient un client une facture de 15,245,36 $ et demandez-leur d'envoyer un chèque à votre bureau. Le pirate informatique voit le même email et suit au client quelques heures plus tard avec un courrier électronique surpoffé de la même adresse e-mail (mais avec une réponse différente - à) qui dit: "Oh attend, il y avait une erreur dans mon dernier email. S'il vous plaît envoyer ces 15,245,36 $ à this adresse à l'aide de cet autre mode de paiement ". Cela peut être une arnaque très efficace. En spoofing la même adresse e-mail et injectant la conversation avec une connaissance complète des détails de la transaction, il peut être très facile de convaincre la personne à l'autre extrémité de simplement faire comme indiqué sans même lever des drapeaux rouges.

Si l'adresse e-mail appartenait à une personne de votre équipe comptable, je pourrais vous inquiéter de ce type de situation - ces attaques se produisent définitivement.

3. Bonne vieille mode Snooping

Il se pourrait que la personne souhaitait avoir accès à des informations autrement privilégiées. Cela pourrait être le cas si, par exemple, le compte compromis appartenait à une personne dans la haute direction. Un exemple serait un employé de niveau inférieur qui a enregistré un bref accès non supervisé à l'ordinateur des gestionnaires. Si la machine a été laissée déverrouillée, elles pourraient facilement lancer des perspectives et configurer une règle de transfert dans (probablement) 30 secondes avec la pratique.

Je mentionne un employé simplement parce qu'ils sont probablement une personne plus susceptible d'être "généralement" intéressé par les emails de quelqu'un sans nécessairement avoir un objectif spécifique. Bien qu'une telle attaque puisse généralement être très facile à réaliser dans un environnement de bureau, il est également évidemment un peu risqué, de sorte que ce n'est pas au sommet de ma liste de possibilités.

Sommaire

Tout cela à dire: Personnellement, je pense que cela est moins courant, alors je craignais que l'attaquant ait un objectif spécifique à l'esprit pour ce compte particulier. Je pourrais être trop paranoïaque cependant. Cela signifie que cela vaut la peine d'envisager exactement ce qu'un attaquant pourrait avoir à gagner en continuant à avoir un accès en lecture seule à ce compte de cet utilisateur particulier. S'ils sont une personne ayant accès à des informations sensibles sur votre entreprise, je serais plus inquiet.

4
Conor Mancone

Si l'attaquant a pu exécuter PowerShell dans votre environnement, il aurait pu utiliser la cmdlet Set-Mailbox pour le faire. Il peut configurer un transfert pour n'importe quel utilisateur et laisser une copie dans la boîte aux lettres d'origine afin qu'elle soit assez transparente.

Votre plus grande inquiétude est la suivante: une personne est capable d'exécuter PowerShell dans votre environnement avec les autorisations de votre administrateur Exchange et que vous ne les avez pas encore trouvés.

1
Gaius