Kriminelle hacker dine e-mail-samtaler: Ny analyse viser stigning i conversation-hijacking-angreb

Ny trusselsanalyse viser en stigning på 400 pct. i sidste halvår af 2019 i en avanceret type phishing-angreb kaldet conversation hijacking. Her overtager hackere e-mail-samtaler via en forfalsket e-mailadresse, der ligner medarbejderens. Analysen er lavet af it-sikkerhedsvirksomheden Barracuda Networks, der giver fem råd til forebyggelse.

En ny trusselsanalyse foretaget af it-sikkerhedsvirksomheden Barracuda Networks viser en stigning på 400 pct. i såkaldte conversation hijacking-angreb, hvor hackere overtager e-mail-samtaler via forfalskede domæner, der til forveksling ligner medarbejderens e-mailadresse.

Analysen er foretaget på baggrund ca. 500.000 månedlige registrerede e-mail-angreb i perioden juli - november 2019. I juli observerede eksperterne 500 af denne type samtale-angreb, mens antallet steg til mere end 2.000 i november 2019.

“Andelen af samtale-hijacking-angreb er stadig lav sammenlignet med andre typer phishing-angreb, men deres personaliserede facon gør dem særdeles effektive, da de er svære at opdage, og de kan medføre store økonomiske omkostninger,” siger Peter Gustafsson, der er ansvarlig for Barracuda Networks i Norden.

Bruger hackede konti til at forberede angreb

Conversation hijacking er ofte forbundet med et account takeover-angreb, det vil sige et angreb, hvor hackere skaffer adgang til en medarbejders e-mail-konto.

Men i stedet for at begå handlinger fra den kompromitterede konto indsamler hackerne værdifulde informationer, fx fra interne og eksterne samtaler mellem medarbejdere, partnere og kunder, som efterfølgende bruges til at efterligne medarbejderen fra en falsk konto.

“Ved at aflæse samtaler, får de kriminelle viden om fx virksomhedsprocesser og betalingsaftaler - og med den viden kan de sende overbevisende e-mails fra en forfalsket adresse til en kollega eller kunde, der fx bliver bedt om at lave en pengetransaktion eller at ændre betalingsoplysningerne på en faktura,” forklarer Peter Gustafsson.

Angriber via falske domæner

For at udføre angrebet opretter hackeren et domæne, der til forveksling ligner det, som den pågældende virksomhed har. På denne måde kan specifikke samtaler overtages, uden medarbejderen, virksomheden eller kunden lægger mærke til det.

Hvis en hacker fx vil forsøge at forfalske frokostordningen.dk (tænkt eksempel) kan de bruge en lignende URL:

• frok(k)ostordningen.dk
• frokost(r)ordningen.dk

Nogle gange kan de også ændre top-level-domænet for at narre deres ofre, fx:

• frokostordningen.(nu)

• frokostordningen.(com)

Fem råd til at beskytte mod conversation hijacking 

Ifølge eksperterne fra Barracuda er det en ressourcetung angrebsform, men set fra hackernes perspektiv er det både tid og penge værd, fordi disse personaliserede angreb ofte er mere succesrige end andre mindre sofistikerede angreb.

Derfor bør alle virksomheder tage truslen alvorligt og give medarbejderne ressourcerne til at holde hackerne fra døren. Her er fem råd til at forebygge dem:

1. Træning i at genkende og rapportere angreb

Sørg for, at ansatte kan genkende phishing-angreb og oplær dem i, hvordan de skal rapportere dem. Brug phishing-simulering til at træne dem i at identificere e-mail-angreb.

2. Brug to-faktor-godkendelse som sikkerhedsforanstaltning

Mange phishing-angreb starter med en overtagelse af e-mail-konti - derfor kan det være afgørende at bruge to-faktor-godkendelse som en ekstra sikkerhedsforanstaltning.

3. Hold øje med og overvej at opkøbe domæner

Hold øje med nye domæneregistreringer, som potentielt kan bruges til at efterligne dit eget domæne. Mange organisationer vælger at købe domæner, der er tæt knyttet til deres egne for at undgå, at hackere gør brug af dem.

4. Udnyt kunstig intelligens

Sørg for at overvåge mistænkelige aktiviteter, fx logins fra usædvanlige placeringer. Benyt kunstig intelligens til at opdage falske domæner og til at analysere normale kommunikationsmønstre i din organisation for at kunne opdage uregelmæssigheder, der kan indikere et phishing-angreb.

5. Styrk jeres interne politikker

Indfør procedurer for økonomiske transaktioner eller ændringer, fx krav om personlig eller telefonisk bekræftelse eller bekræftelse fra flere forskellige personer.