Aanvallers doen normaal gesproken zorgvuldig voorbereidingswerk om business e-mail compromise-aanvallen te ontwerpen. Wanneer ze zich voordoen als iemand die geautoriseerd is om geld over te maken of vertrouwelijke informatie te versturen, moeten hun berichten er zo legitiem mogelijk uitzien. Details zijn dus belangrijk.
We hebben onlangs een interessant voorbeeld van een e-mail in handen gekregen die naar een werknemer bij een bedrijf werd verzonden in een poging om een gesprek aan te knopen.
De tekst is redelijk rechttoe rechtaan voor een e-mail van dit type. De aanvaller maakt duidelijk dat de verzender in een vergadering zit, dus dat er geen andere communicatie mogelijk is. Dat doen ze om de ontvanger te ontmoedigen om te controleren of ze inderdaad met de persoon wiens naam onderaan het bericht verschijnt in gesprek zijn. Aangezien de aanvallers niet proberen te verbergen dat de e-mail vanaf een openbare e-mailservice is verzonden, wisten dus ofwel dat de persoon die ze imiteren die service gebruikte, of gingen ze ervan uit dat het normaal voor dit bedrijf was om e-maildiensten van derden te gebruiken voor zakelijke correspondentie.
Er was echter iets anders dat onze aandacht trok: de afsluiting “Sent from my iPhone”. Deze afsluiting is een iOS Mail-standaard voor uitgaande berichten, maar de technische headers suggereren dat het bericht verzonden is via de web-interface, en wel vanaf de Mozilla-browser.
Waarom probeerden de aanvallers het te laten lijken alsof de e-mail vanaf een Apple-smartphone was verzonden? De automatische afsluiting kan zijn toegevoegd om het bericht er respectabel uit te laten zien. Dat is alleen niet een zeer elegante truc. BEC-aanvallen lijken veelal van een collega te komen, en de kans dat de ontvanger in dit geval wist wat voor soort apparaat die persoon gebruikt is groot.
Dus de criminelen moeten geweten hebben wat ze deden. Maar hoe dan? In werkelijkheid is dat niet erg moeilijk. Het enige dat hiervoor nodig is, is wat onderzoek met gebruik van een zogenaamde tracking pixel, ook wel bekend als webbaken.
Wat een tracking pixel is en waarom deze gebruikt wordt
Over het algemeen willen bedrijven die bulk-e-mail naar klanten, partners of lezers versturen (bijna elk bedrijf dus) meer weten over het betrokkenheidsniveau dat ze behalen. In theorie heeft e-mail een ingebouwde optie voor het versturen van leesbevestigingen, maar ontvangers moeten het gebruik hiervan accepteren, en de meeste mensen doen dit niet. Dus slimme marketingmensen bedachten vervolgens de tracking pixel.
Een tracking pixel is een piepkleine afbeelding. Deze afbeelding van slechts één bij één pixel is niet te zien voor het menselijk oog en bevindt zich op een website. Als een e-mail-applicatie de afbeelding opvraagt, ontvangt de verzender die de website beheert bevestiging dat het bericht is geopend, plus het IP-adres van het ontvangende apparaat, de tijd waarop de e-mail is geopend en het programma dat is gebruikt om de e-mail te openen. Hebt u ooit opgemerkt hoe uw e-mailclient geen afbeeldingen weergeeft tot u op een link klikt om deze te downloaden? Dat is niet om prestaties te boosten of internetverkeer te beperken. Automatische downloads van afbeeldingen zijn normaal gesproken standaard uitgeschakeld om veiligheidsredenen.
Hoe kan een cybercrimineel zijn voordeel doen met de tracking pixel?
Dit is een mogelijk scenario: tijdens een reis in het buitenland ontvangt u een bericht in uw zakelijke inbox dat er relevant uitziet voor uw bedrijf. Zodra u beseft dat dit slechts een ongewenste sollicitatie is, sluit u het bericht en verwijdert het, maar ondertussen komt de aanvaller al het volgende te weten:
- U bevindt zich in het buitenland, zoals te zien is aan uw IP-adres. Dat betekent dat persoonlijk contact met collega’s wellicht lastig is. U kunt dus een veilig persoon zijn om te imiteren;
- U gebruikt een iPhone (u hebt het bericht geopend met Mail for iOS), dus het toevoegen van de afsluiting “Verstuurd vanaf mijn iPhone” zorgt voor extra geloofwaardigheid in de nep-e-mail.
- U hebt de e-mail om 11.00 uur gelezen. Dat is op zichzelf niet echt belangrijk, maar als u regelmatig berichten ontvangt, kunnen cybercriminelen uw schema uitvogelen en een aanval plannen op een tijdsstip waarop u normaal gesproken niet beschikbaar bent.
Hoe kunt u deze truc onschadelijk maken?
Uzelf tegen tracking beschermen is moeilijk. Maar dat betekent nog niet dat u het leven van cybercriminelen maar eenvoudiger moet maken. Wij raden u aan om de volgende tips op te volgen:
- Als uw e-mailclient het bericht “klik hier om afbeeldingen te downloaden” toont, betekent dat dat de visuele content is geblokkeerd vanwege privacyoverwegingen. Denk dus na voordat u dit toestaat. De e-mail ziet er misschien lelijk uit zonder afbeeldingen, maar als u toestemming geeft om die te downloaden, geeft u dus ook informatie over uzelf en uw apparaat weg aan vreemden;
- Open geen e-mails die in uw spam-map belanden. Moderne spamfilters hebben zijn extreem nauwkeurig, zeker als uw e-mailserver is beschermd door onze technologie;
- Wees voorzichtig met B2B-massamails Het is één ding als u zich vrijwillig aanmeldt voor de updates van een bedrijf, maar het is iets heel anders als een e-mail van een onbekend bedrijf afkomstig is, om onbekende redenen. In dat laatste geval is het beter om het bericht niet te openen;
- Gebruik robuuste oplossingen met geavanceerde antispam- en anti-phishing-technologieën om uw zakelijke e-mail te beschermen.
Zowel Kaspersky Total Security for Business (Kaspersky Security for Microsoft Exchange Servers, Kaspersky Security for Linux Mail Server als Kaspersky Secure Mail Gateway components) en Kaspersky Security for Microsoft Office 365 beschikken over onze antispam- en anti-phishing-technologie.