I en ny studie visar Barracuda Networks forskare hur angripare kan missbruka inkorgsregler när de lyckats få tillgång till ett e-postkonto.
På så vis undviker de upptäckt samtidigt som de stjäl information från företagets nätverk.
Den typen av attacker bygger på att offren inte ser säkerhetsvarningar – och att angriparen arkiverar valda meddelanden i diskreta mappar som den angripne inte noterar.
– Missbruket av regler för e-postens inkorg är en smart och effektiv taktik som sker i smyg. Den är lätt att genomföra när en angripare väl har skaffat sig tillgång till ett konto, säger Prebh Dev Singh, ansvarig för Email Protection Product Management på Barracuda.
Även om verktygen för e-postdetektering har utvecklats och maskininlärning har gjort det lättare att upptäcka misstänkta regler visar Barracudas studie att cyberkriminella fortsätter att angripa företagen på det här sättet.
Manipulerade regler kan därför vara ett allvarligt hot mot deras data och andra tillgångar.
– Eftersom det är en teknik som används efter att ett konto tagits över är det ett säkert tecken på du har en angripare i ditt nätverk. Det innebär att det krävs omedelbara åtgärder för att få ut dem, säger Peter Graymon, ansvarig för Barracuda Networks i Norden.
När en angripare väl har kommit åt ett e-postkonto, till exempel genom nätfiske eller genom att använda stulna inloggningsuppgifter, kan de ställa in en eller flera automatiska e-postregler som gör att de fortsätter ha åtkomst till brevlådan utan att det upptäcks. Det kan användas för en mängd olika skadliga syften, inklusive:
- att stjäla information eller pengar och fördröja upptäckt. Angriparna kan sätta en regel för att vidarebefordra alla e-postmeddelanden som innehåller känsliga och potentiellt lukrativa nyckelord som ”betalning”, ”faktura” eller ”konfidentiellt” till en extern adress.
- att dölja specifika inkommande e-postmeddelanden som säkerhetsvarningar genom att flytta sådana meddelanden till sällan använda mappar, markera e-postmeddelanden som lästa eller helt enkelt ta bort dem.
- att övervaka den angripnes aktiviteter och samla in information om hen (eller företaget) som går att använda som en del av ytterligare attacker.
- för så kallade vd-bedrägerier (BEC), ställa in en regel som tar bort alla inkommande e-postmeddelanden från en viss kollega, till exempel ekonomichefen (CFO). Det gör att angriparna kan låtsas vara CFO och skicka falska e-postmeddelanden till kollegor för att övertyga dem om att överföra pengar till ett bankkonto som kontrolleras av angriparna.
Om den missbrukade regeln inte upptäcks fortsätter den att gälla även om offrets lösenord ändras eller om man aktiverar multifaktorautentisering, inför andra strikta policyer för villkorad åtkomst eller om datorn byggs om. Så länge regeln förblir på plats riskerar den att bli ett effektivt verktyg för angriparen.