web-dev-qa-db-ja.com

すべてのメールを転送するOutlookルール-それは一般的な詐欺ですか?

最近、セキュリティの問題が発生しました。 MS Exchange 365に基づく1つのメールアカウントがハッキングされ、ハッカーはルールごとにすべてのメールをGmailアカウントに転送しました。

関連するすべてのPCをチェックしましたが、ウイルスは見つかりませんでした。そして、パスワードを変更しました。しかし、この場合、パスワードを変更しても何も変更されませんでした。パスワードを変更した後、すべての電子メールを転送するルールも機能したためです。転送が停止したのは、そのようなルールが設定されていることを発見してから、ルールを削除した場合のみです。

このハックはどのくらい一般的ですか?聞いたことも読んだこともありません。攻撃者がどのようにメールアカウントにアクセスしたかは、やはり謎です。おそらく彼はどこかでパスワードを盗みましたが、私はその方法を理解できません。

3
Edgar

私の専門的な経験では、これは「ハッカー」からの一般的なステップではありません。ただし、それを裏付ける具体的な数値はありません。そのため、この説明を事例証拠以外の何ものとしても採用しません。

ただし、ハッカーがこれを行った理由について明白に述べることは価値があります。実際のところ、攻撃者はこれを効果的に隠しバックドアとして使用し、最初の発見後もアクセスを維持し続けます。実際、攻撃者がメールアカウントのパスワードをリセットした後もすべてのメールのコピーを取得し続けたため、これが起こったのです。この攻撃シナリオは一般的ではないという想定に基づいており、これはより標的を絞った攻撃である可能性があることを示唆しているため、さらに詳しく検討する価値があります。

ハッカーがこの追加の手順を実行したという事実は、アカウントへのフルアクセスだけでなく、受信メールへの読み取り専用アクセスにも興味を持っていたことを意味します。ユーザーのメールへの読み取り専用アクセスには、主に3つの用途が考えられます。

1.さらなるアカウントの侵害

すべてのメールのコピーを受信して​​いる限り、影響を受けるメールアドレスが登録されているサードパーティアカウントのパスワードをリセットできます。結局のところ、それは通常、パスワードをリセットするためにその「リセット」リンクを使用するだけであり、パスワードのリセットをトリガーすると、リンクのコピーも取得します。元の受信トレイにあるリセットメールを削除できなくなるため、疑いが生じる可能性がありますが、それでもアカウントアクセスのリセットが停止されるわけではありません-すぐに捕まる可能性があるだけです。

攻撃者が自分のアクセスを使用して他のアカウントに侵入したためにハッキングを発見した場合、この転送ルールは単にアクセスを拡張して、最初の発見後でもさらなる「被害」を与える試みである可能性があります。これはおそらく、最も負担の少ないシナリオです(あなたにとって)。

2.ビジネストランザクションの傍受(別名Mandate Fraud)

私が聞いた詐欺の1つは、通常は大規模なトランザクションの場合、課金チームからの内部情報にアクセスすることにより、正規のビジネストランザクションを傍受する攻撃者です。ランダムな例を挙げましょう。あなたが屋根ふきの会社で、このメールアドレスを所有している人が請求チームにいるとします。彼らは顧客に$ 15,245.36の請求書をメールで送信し、小切手をあなたのオフィスに送るように指示します。ハッカーは同じメールを見て、数時間後、同じメールアドレスからの(ただし、返信先が異なる)なりすましのメールをお客様に追跡し、「まあ、前回のメールに誤りがありました。その$ 15,245.36をthisこの他の支払い方法を使用した住所に送信してください。 "これは非常に効果的な詐欺になる可能性があります。同じ電子メールアドレスを偽装し、トランザクションの詳細を完全に理解した会話に自分自身を挿入することで、反対側の人に、警告を発することさえせずに、指示されたとおりに実行することを非常に簡単に説得できます。

メールアドレスがあなたの会計チームの誰かのものであった場合、私はこの種の状況について心配するかもしれません-そのような攻撃は間違いなく起こります。

3.古き良きファッションスヌーピング

それは、その人がそうでなければ特権的な情報へのアクセスを望んでいた可能性があります。たとえば、侵害されたアカウントが上層部の誰かに属していた場合などです。 1つの例は、マネージャーのコンピューターへの監視されていないアクセスをブリーフした低レベルの従業員です。マシンのロックが解除されたままの場合、Outlookを簡単に起動し、(おそらく)30秒で転送ルールを設定できます。

従業員について言及するのは、彼らがおそらく特定の目標を持たなくても、誰かの電子メールに「一般的に」興味を持っている可能性が高い人だからです。このような攻撃は一般にオフィス環境で実行するのは非常に簡単ですが、明らかに少し危険であるため、私の可能性のリストのトップにはありません。

概要

こういうことすべて:個人的には、これはあまり一般的ではないと思うので、攻撃者がこの特定のアカウントに対して特定の目標を念頭に置いていたことを心配します。でも私は過度に偏執狂的でした。これは、攻撃者がこの特定のユーザーのアカウントへの読み取り専用アクセスを継続することで何を得る必要があるかを正確に検討する価値があることを意味します。彼らがあなたの会社に関する機密情報にアクセスできる誰かであるなら、私はもっと心配するでしょう。

4
Conor Mancone

攻撃者が環境でPowerShellを実行できた場合、攻撃者は Set-Mailboxコマンドレット を使用してこれを実行できた可能性があります。すべてのユーザーの転送を設定し、コピーを元のメールボックスに残すことができるため、非常に透過的です。

あなたのより大きな懸念は、あなたの環境で誰かがあなたのExchange管理者の権限でPowerShellを実行することができ、あなたはそれらをまだ見つけていないということです。

1
Gaius