Fler attacker i Google Workspace och Office365

På Nimblr får vi allt fler rapporter om verksamheter som drabbas av bedrägerier där betaluppgifter som skickas med e-post från betrodda avsändare modifierats. Tillvägagångssättet är inte nytt, men fortsatt en effektiv metod att lura till sig både pengar och varor. De flesta attackerna sker i Office365-miljö men liknande angrepp har också noterats i Google Workspace.

Hur det går till

Attacken startar med att angriparen får tillgång till en användares e-postkonto, ofta genom en falsk inloggningssida där användaren anger sitt lösenord i god tro. Angriparen använder lösenordet för att logga in i offrets webmail. Där skapar angriparen e-post-regler som vidarebefordrar eller kopierar e-postkommunikationen till en extern mailadress.

I vissa fall baseras reglerna på speciella kriterier, som t.ex. att bara vidarebefordra e-post som innehåller ordet “faktura” eller “betalning”. I några av attackerna som Nimblr tagit del av når e-posten inte den tilltänkta mottagaren förrän efter att angriparen haft möjlighet att modifiera innehållet.

När den lömska e-postregeln väl är på plats är det bara för angriparen att invänta rätt tillfälle. Genom att i osynlighet granska offrets kommunikation kan attacken pågå under lång tid, och så när t.ex. en leveransadress eller en betalningsuppgift kommuniceras slår angriparen till och modifierar några små detaljer om bankkontonummer eller liknande. Ofta upptäcks inte attacken förrän leverantören frågar efter var betalningen för en viss beställning tagit vägen, eller när kunden undrar var hans varor är någonstans.

Ett skript som listar användare med eftersändning aktiverat

Som administratör kan det vara bra att undersöka vilka regler som finns konfigurerade i användarnas e-postklienter. Enklaste sättet är att köra ett powershellskript i Exchange-server eller Office 365-instans. Skriptet nedan listar alla användare som har eftersändning aktiverad:

$Mailboxes = Get-Mailbox -ResultSize Unlimited
ForEach ($Mailbox in $Mailboxes)
{
$MailboxWithRule = Get-InboxRule -Mailbox $Mailbox.Alias |
where {
($_.RedirectTo -ne $null) -or ($_.ForwardTo -ne $null) -or ($_.ForwardAsAttachmentTo -ne $null)
}
if ($MailboxWithRule -ne $Null)
{
Write-Host "User $($Mailbox.PrimarySmtpAddress) has the rules:" $MailboxWithRule |
fl Name, Identity, RedirectTo, ForwardTo, ForwardAsAttachmentTo
}
}

Som slutanvändare kan man själv hålla ett öga på vilka regler som finns via Outlook Web Access under Settings > View all Outlook settings > Rules eller i e-postklienten genom att, i Outlook, klicka på File och välj Manage Rules & Alerts för att visa aktiva regler.