Accountreferenties, een populaire initiële toegangsvector, zijn een waardevol handelsartikel geworden in cybercriminaliteit. Als gevolg hiervan kan één enkele set gestolen inloggegevens het hele netwerk van uw organisatie in gevaar brengen.
Volgens het Verizon Data Breach Investigation Report uit 2023 waren externe partijen verantwoordelijk voor 83 procent van de inbreuken die plaatsvonden tussen november 2021 en oktober 2022. Bij 49 procent van deze inbreuken waren gestolen inloggegevens betrokken.
Hoe compromitteren bedreigingsactoren inloggegevens? Social engineering is een van de vijf grootste bedreigingen voor de cyberveiligheid in 2023. Phishing, dat verantwoordelijk is voor % van de pogingen tot social engineering, is de beste methode voor het stelen van inloggegevens. Het is een relatief goedkope tactiek die resultaat oplevert.
Naarmate phishing- en social engineering-technieken geavanceerder worden en de tools gemakkelijker beschikbaar komen, zou diefstal van inloggegevens een van de belangrijkste beveiligingsproblemen voor alle organisaties moeten worden, als dat al niet het geval is.
Phishing is geëvolueerd
Met phishing en social engineering in het algemeen kijken bedreigingsactoren verder dan het gebruik van alleen e-mails:
- Phishingcampagnes zijn nu aanvallen via meerdere kanalen die meerdere fasen kennen. Naast e-mails gebruiken bedreigingsactoren ook sms-berichten en voicemail om slachtoffers naar kwaadaardige websites te leiden en gebruiken ze vervolgens een vervolgtelefoontje om de list voort te zetten.
- Bedreigingsactoren richten zich actief op mobiele apparaten. Inloggegevens kunnen in gevaar komen omdat gebruikers voor de gek kunnen worden gehouden door social engineering-tactieken in verschillende apps. Elk kwartaal van 2022 werd de helft van alle persoonlijke apparaten blootgesteld aan een phishing-aanval.
- AI is een factor geworden. AI wordt gebruikt om phishing-inhoud geloofwaardiger te maken en de reikwijdte van aanvallen te vergroten. Met behulp van onderzoeksgegevens van slachtoffers kan AI persoonlijke phishing-berichten creëren en deze berichten vervolgens verfijnen om een laagje legitimiteit toe te voegen om betere resultaten te krijgen.
PhaaS is de weg naar gestolen inloggegevens
Toch is er niet veel nodig om inloggegevens te stelen. Phishing is een goede zaak geworden nu bedreigingsactoren het phishing-as-a-service (PhaaS)-model volledig omarmen en hun expertise aan anderen uitbesteden. Met de phishing-kits die op ondergrondse forums worden verkocht, kunnen zelfs beginners die niet de vaardigheden hebben om zelf IT-systemen te infiltreren, de mogelijkheid hebben om een aanval uit te voeren.
PhaaS werkt als legitieme SaaS-bedrijven. Er zijn abonnementsmodellen waaruit u kunt kiezen en de aanschaf van een licentie is vereist om de kits te laten werken.
Geavanceerde phishing-tools die worden gebruikt om Microsoft 365-accounts te targeten
Het BEC-phishing-ecosysteem van W3LL blootgelegd
De afgelopen zes jaar heeft bedreigingsacteur W3LL zijn op maat gemaakte phishing-kit, het W3LL Panel, aangeboden in hun ondergrondse markt, de W3LL Store. De kit van W3LL is gemaakt om multi-factor authenticatie (MFA) te omzeilen en is een van de meer geavanceerde phishing-tools op de ondergrondse markt.
Tussen oktober 2022 en juli 2023 werd de tool gebruikt om met succes ten minste 8.000 van de 56.000 zakelijke Microsoft 365 zakelijke e-mailaccounts te infiltreren die het doelwit waren. W3LL verkoopt ook andere activa, waaronder e-maillijsten van slachtoffers, gecompromitteerde e-mailaccounts, VPN-accounts, gecompromitteerde websites en diensten en op maat gemaakte phishing-lokmiddelen. Er wordt geschat dat de omzet voor de W3LL Store de afgelopen tien maanden maar liefst $ 500.000 bedroeg.
De phishing-kit van Greatness vereenvoudigt BEC
Greatness is in het wild sinds november 2022, met scherpe sprongen in activiteit in december 2022 en opnieuw in maart 2023. Naast Telegram-botintegratie en IP-filtering, omvat Greatness de mogelijkheid om multi-factor authenticatie te omzeilen, zoals het W3LL Panel.
Het eerste contact wordt gelegd met een phishing-e-mail die het slachtoffer doorstuurt naar een valse Microsoft 365-inlogpagina waar het e-mailadres van het slachtoffer vooraf is ingevuld. Wanneer het slachtoffer zijn wachtwoord invoert, maakt Greatness verbinding met Microsoft 365 en omzeilt de MFA door het slachtoffer te vragen de MFA-code op de lokpagina in te voeren. Die code wordt vervolgens doorgestuurd naar het Telegram-kanaal, zodat de bedreigingsacteur deze kan gebruiken en toegang kan krijgen tot het authentieke account. De Greatness phishing-kit kan alleen worden ingezet en geconfigureerd met een API-sleutel.
De ondergrondse markt voor gestolen inloggegevens
In 2022 waren er ruim 24 miljard inloggegevens te koop op het Dark Web, een stijging ten opzichte van 2020. De prijs voor gestolen inloggegevens varieert afhankelijk van het accounttype. Gestolen cloudgegevens kosten bijvoorbeeld ongeveer dezelfde prijs als een tiental donuts, terwijl logins op een ING-bankrekening $ 4.255 kosten.
Toegang tot deze ondergrondse forums kan moeilijk zijn, omdat voor sommige operaties verificatie of lidmaatschapsgeld vereist is. In sommige gevallen, zoals bij de W3LL Store, zijn nieuwe leden alleen toegestaan op aanbeveling van bestaande leden.
De gevaren van eindgebruikers die gestolen inloggegevens gebruiken
De risico’s van gestolen inloggegevens worden groter als eindgebruikers wachtwoorden voor meerdere accounts hergebruiken. Bedreigingsactoren betalen voor gestolen inloggegevens omdat ze weten dat veel mensen hetzelfde wachtwoord gebruiken voor meerdere accounts en webservices, zowel voor persoonlijke als zakelijke doeleinden.
Hoe ondoordringbaar de beveiliging van uw organisatie ook is, het kan lastig zijn om hergebruik van geldige inloggegevens die van een ander account zijn gestolen, te voorkomen.
Financieel gewin is de motivatie achter gestolen inloggegevens
Na het stelen van accountgegevens kunnen bedreigingsactoren malware verspreiden, gegevens stelen, zich voordoen als de accounteigenaar en andere kwaadwillige handelingen uitvoeren met het gecompromitteerde e-mailaccount. De dreigingsactoren die de inloggegevens stelen, zijn echter vaak niet degenen die de informatie zullen gebruiken.
Financieel gewin blijft de belangrijkste reden achter 95% van de inbreuken. Bedreigingsactoren zullen de inloggegevens die ze op ondergrondse forums hebben gestolen met winst verkopen aan andere bedreigingsactoren die ze weken of maanden later zullen gebruiken. Dit betekent dat gestolen inloggegevens tot ver in de toekomst de drijvende kracht achter ondergrondse markten zullen zijn. Welke stappen onderneemt u om gebruikersreferenties in uw organisatie te beveiligen?
Blokkeer gecompromitteerde wachtwoorden
Elimineer de veiligheidsrisico’s van gecompromitteerde wachtwoorden met Specops Wachtwoordbeleid met Breached Password Protection waarmee u meer dan 4 miljard bekende gecompromitteerde wachtwoorden uit uw Active Directory kunt blokkeren. Er wordt voorkomen dat alle gebruikers bekende gecompromitteerde wachtwoorden gebruiken en worden begeleid bij het maken van een ander wachtwoord dat past bij uw beleid. Als continu scannen is geactiveerd, worden gebruikers bovendien per sms of e-mail gewaarschuwd zodra wordt ontdekt dat hun wachtwoord is gecompromitteerd.
U kunt uw wachtwoordinfrastructuur versterken door gebruik te maken van de aangepaste woordenboekfunctie waarmee u woorden kunt blokkeren die gebruikelijk zijn in uw organisatie, maar ook zwakke en voorspelbare patronen. Dwing een sterker wachtwoordbeleid af dat voldoet aan de huidige nalevingsvereisten met Specops Wachtwoordbeleid. Probeer het hier gratis.
