Interne e-mailadressen IKEA-medewerkers gebruikt voor verspreiden van malware

IKEA heeft medewerkers gewaarschuwd dat het bedrijf getroffen is door een phishingaanval waarbij e-mailadressen van medewerkers gebruikt worden voor het intern verspreiden van malware via lopende gesprekken tussen collega's en met leveranciers.

Dat schrijft BleepingComputer op basis van interne e-mails die de website heeft ingezien. Daarin is te lezen dat de interne mailboxen van Inter IKEA worden gebruikt voor phishing. IKEA zegt dat andere IKEA-organisaties, leveranciers en zakenpartners ook door de aanval getroffen zijn en dat er via hen meer kwetsbare mails worden verstuurd naar medewerkers binnen Inter IKEA. Inter IKEA is de bedrijvengroep die leveranciers en franchisehouders van IKEA met elkaar verbindt. IKEA vermoedt dat hun Microsoft Exchange-servers waarschijnlijk aangetast zijn.

De interne mails worden gebruikt voor het verspreiden van malware, schrijft IKEA. Het bedrijf benadrukt medewerkers dat de mails niet alleen worden verstuurd via externen, maar ook via legitieme interne mailadressen van collega's. De mails worden verstuurd als reply-chain phishing. Dat betekent dat de mails worden verstuurd als reactie op lopende gesprekken, met daarin kwetsbare links waarmee meer medewerkers ook kunnen worden gephisht. De mails zijn afkomstig van eerder getroffen collega's, waardoor het minder duidelijk is dat het om phishing gaat, omdat de mails van bekenden komen.

De mails zijn voorzien van een link met aan het einde zeven cijfers, waarschuwt de IT-afdeling van IKEA. Daar zijn de links op dit moment aan te herkennen. De IT-afdeling roept medewerkers op om de mails niet te openen, niet op de links te klikken en onmiddellijk contact op te nemen met de IT-afdeling. Volgens IKEA gaat het om een nog lopende cyberaanval, waarvan de schaal nog niet bekend is. Het bedrijf gebruikt nu een e-mailfilter die de mails moet tegenhouden. Medewerkers kunnen mails tot nader order niet uit quarantaine halen, schrijft IKEA aan medewerkers.

Interne mail van de IT-afdeling van IKEA. Bron: BleepingComptuer

Volgens BleepingComputer wordt via de links een zipbestand geopend, dat op zijn beurt een kwaadaardig Excel-bestand opent. Hierbij worden medewerkers aangemoedigd om op een knop te klikken, waarmee het lijkt dat zij het document kunnen bewerken. In werkelijkheid wordt een malware-payload gedownload en uitgevoerd, vergelijkbaar met hoe het Emotet-botnet malware verspreidt. Dat botnet dook onlangs weer op nadat onder meer de Nederlandse politie dit in januari onschadelijk had gemaakt.

In een reactie aan Dutchitchannel zegt een IKEA-woordvoerder dat het gaat om een phishingaanval op onderdelen van IKEA. Er zijn volgens haar geen aanwijzingen dat er klantgegevens buitgemaakt zijn bij de aanval. Volgens Dave Maasland, ceo van securitybedrjif ESET Netherlands, leidt de huidige aanval waarschijnlijk in het ergste geval tot een ransomware-aanval. Dat zegt hij in een reactie op een LinkedIn-post van cybersecurityspecialist Erik Westhovens van Insight.

IT-banen

Reacties (71)

Sliderhome 29 november 2021 11:23

E-mail is nooit veilig,

Door een kleine aanpassing in de instellingen van outlook mail , kan ik ook email verzenden van uit de naam info@tweakers.net.

Rolfie

@Sliderhome • 29 november 2021 11:28

Tenzij Tweakers SPF, DKIM en DMARC correct heeft ingesteld en de ontvangende partij daarop controleert.

Hmmbob @Rolfie • 29 november 2021 11:37

Voor Tweakers is DMARC afwezig, SPF is niet voldoende restrictief: https://internet.nl/mail/tweakers.net/625828/#

IKEA scoort daar overigens prima op: https://internet.nl/mail/ikea.com/625845/

[Reactie gewijzigd door Hmmbob op 23 juli 2024 03:26]

Anoniem: 1322 @Hmmbob • 29 november 2021 11:52

SPF is niet voldoende restrictief:
Ze hebben SPF op ? staan, dat is effectief hetzelfde als geen policy instellen.
(? for a NEUTRAL result interpreted like NONE (no policy)).

Echt super slecht dat ze zoiets simpels nog niet voor elkaar hebben.

FvdM @Anoniem: 1322 • 30 november 2021 17:55

[Reactie gewijzigd door FvdM op 23 juli 2024 03:26]

Tmaster @Hmmbob • 29 november 2021 11:49

En nog gewoon TLS1.0 en TLS1.1 accepteren tweakers? Oef jullie hebben daar wel wat werk liggen hoor!

Hmmbob @Tmaster • 29 november 2021 11:58

Nee, hun (externe) spam-protectie accepteert die.

GroeneThee @Hmmbob • 29 november 2021 11:45

Hardwareinfo.net
https://internet.nl/mail/hardwareinfo.net/625856/

Fido @Rolfie • 29 november 2021 11:59

Ook dan is het niet per definitie veilig. Als het wachtwoord van de mailbox van één van de medewerkers is uitgelekt, dan kan er vanuit die mailbox een bericht verstuurd worden die netjes voldoet aan SPF, DKIM en DMARC.

Anoniem: 1322 @Fido • 29 november 2021 13:16

Niet als je gewoon MFA afdwingt. Iets wat neem ik aan tegenwoordig vrij standaard is.
Maar uiteraard is iets nooit 100% veilig. Dat bestaat niet en is een zinloze discussie.

sprankel @Anoniem: 1322 • 29 november 2021 14:01

MFA gaat Ikea niet helpen, "reply-chain phishing" wilt zeggen dat de malware via een legitieme client een reply-all doet op een legiteme mail.

Bijvoorbeeld mail "nieuwe corona maatregelen op de werkvloer" verzonden naar iedereen, reply-all van Bert, hey, bekijk zeker ook dit documentje insert malafide link insert standaard handtekening.

Vervolgens moet je Bert zijn account vergrendelen en op zoek gaan naar welk device van Bert gecomprimeerd is, dat kan evengoed zijn telefoon zijn. Het aantal mensen dat er in trapt is ook hoog omdat ze Bert kennen en de mail niet de onderscheiden is van Bert zijn andere mails, hij is namelijk ook gewoon uit zijn eigen mail client verzonden.

100% veilig bestaat inderdaad niet en men gaat steeds op zoek naar nieuwe manieren.

Tip, op mijn werk hebben ze nu afgedwongen dat je apart moet authentificeren om je mail client te openen op je telefoon dus die vraagt nu iedere keer je de mail app wilt openen vingerafdruk net alsof je een bankapp opent.

[Reactie gewijzigd door sprankel op 23 juli 2024 03:26]

Anoniem: 1322 @sprankel • 29 november 2021 15:43

MFA gaat Ikea niet helpen, "reply-chain phishing" wilt zeggen dat de malware via een legitieme client een reply-all doet op een legiteme mail.
Maar dan moet men zich natuurlijk wel toegang verschaffen tot die 'legitieme client'. En als daar MFA op staat dan heeft men geen toegang. Het kan natuurlijk dat men misbruik maakt van de laatste Exchange vulnerabilities maar dan heeft systeembeheer hier gefaald.

Ik heb deze aanvallen zelf wel vaker gezien. In vrijwel alle gevallen waren het gelekte credentials van een gebruiker en OWA die zonder MFA open stond aan het internet.

100% veilig bestaat inderdaad niet en men gaat steeds op zoek naar nieuwe manieren.
Veiligheid bestaat uit lagen. De meer lagen, de veiliger je bent. 100% is onmogelijk maar als je MFA afdwingt op al je accounts en je software up2date houdt, dan ben je zeer veilig.

sprankel @Anoniem: 1322 • 29 november 2021 17:51

Maar dan moet men zich natuurlijk wel toegang verschaffen tot die 'legitieme client'.

Klopt volledig dus je zit sowiezo naar een gecomprimeerd device te kijken.

Maar ik heb exact dezelfde aanval al meermaals gezien op mijn werk terwijl er niet enkel de MFA via sms van MS actief is maar ook nog een 3th party key authenticator vanaf je buiten het bedrijfsnetwerk wilt verbinden.

De mail app op de telefoon, welke reeds onder een bedrijfsaccount zit, reeds onder MFA zit en reeds al afgeschermd was van je privé apps, daar heeft men nu beslist dat elke keer je die wilt openen, dus elke keer ik een mail wil lezen, nog eens apart te authentificeren.

Ik wil niet weten hoeveel klachten ze van users daarvoor gekregen hebben maar het geeft vooral aan dat ze een nieuwe manier hebben gevonden, don't hack the mail, hack the phone.

hackerhater @Fido • 29 november 2021 12:34

Zeker, maar het verhinderd in ieder geval wel al (mits de ontvangende partij erop controleert) dat iemand in jouw naam email kan sturen zonder toegang tot je mailserver.

mjtdevries @Fido • 29 november 2021 14:03

Maar dan heb je het dus niet meer over een email met een vervalst afzender adres. En daar ging de thread over

NielsFL @Rolfie • 29 november 2021 11:38

Dat scheelt inderdaad een hoop. Zelf verplicht ik ook STARTTLS met een geldig certificaat. Verrassend veel (zolderkamer-)providers die dat niet goed voor elkaar hebben (en de rest dus waarschijnlijk ook niet).

Sliderhome @Rolfie • 29 november 2021 11:39

Mee eens.

Maar daar wordt vaak niet op gecontroleerd (automatisch). De mail komt dan gewoon aan en de gebruiker ziet netjes het e-mail adres wat van zijn collega zou moeten zijn.

kodak

Phishing
Malware

@Rolfie • 29 november 2021 15:46

Dat heeft weinig met deze situatie te maken. Bleeping computers stelt dat de mails van echte accounts komen. Dat valt hiermee dus niet te controleren of voorkomen.

Kevke @Rolfie • 1 december 2021 01:06

Overigens echt niet te doen naar mijn ervaring.. Een partij die op alle 3 controleert en op basis daarvan mail gaat afwijzen zal heel veel mails niet binnenkrijgen vrees ik..

Hoogstens dat je je mail gateway er een tag bij kan laten zetten, "hey let op - geen correcte spf aanwezig. dit kan spam zijn" maar alsof dat wat gaat uitmaken.

Frogy @Sliderhome • 29 november 2021 11:28

Bijzonder inderdaad dat het Mail protocol nooit echt veranderd is tbh beveiliging.

Voor website zijn er dingen als SSL,. end tot end encryptie, voor mail volgens mij niet echt.

musiman

@Frogy • 29 november 2021 11:52

Nou, dan heb je liggen slapen. Mailservers kunnen met STARTTLS een beveiligde verbinding opzetten. De mails zelf kunnen met S/MIME worden versleuteld en er zijn meer mogelijkheden om mail te encrypten, zoals PGP, Microsoft AIP/IRM/RMS/Sensitivity Labels en andere 3rd party oplossingen. Ook gmail heeft tegenwoordig standaard een "confidential mode" om versleuteld mail te sturen met als extra check een SMS passcode voor de ontvanger. En zo kan ik nog wel even doorgaan.

Het is echter de lastige implementatie van deze techniek die vaak in de weg staat. Binnen een bedrijf gaat het prima, maar wil je mail encrypten richting je zakenrelaties, dan zul je daar van tevoren afspraken over moeten maken en bepaalde configuraties uitvoeren.

Sliderhome @musiman • 29 november 2021 11:56

@musiman
wil je mail encrypten richting je zakenrelatie.

En daar gaat het helaas al fout, alleen binnen je eigen domein is alles goed te beheren maar daar buiten totaal niet.

@Frogy Heeft gelijk geen "end tot end encryptie"

Anoniem: 1322 @Sliderhome • 29 november 2021 13:13

S/MIME kan zeker wel "end tot end encryptie" faciliteren:
https://www.compuquip.com/blog/what-is-smime

Wil je mail encrypten richting je zakenrelatie.
Zoals @musiman al aangeeft is het goed mogelijk om email beter te beveiligen tot een niveau dat zelfs persoonsgegevens uitgewisseld kunnen worden. Daarom hebben we bijvoorbeeld ook de nta 7530.

En daar gaat het helaas al fout, alleen binnen je eigen domein is alles goed te beheren maar daar buiten totaal niet.
Er zijn dus prima mogelijkheden om email goed te beveiligen maar zelfs dan er zijn tientallen oplossingen om het 'daarbuiten' te regelen zoals met Zivver. Een simpele 'veilig mailen' zoekopdracht geeft je tientallen commerciële opties.

Sliderhome @Anoniem: 1322 • 29 november 2021 13:37

@Anoniem: 1322
Ben het helemaal met je eens, alles is mogelijk. Maar is niet de praktijk
Zolang niet alle partijen mee doen dan werkt het niet, en dan is er dus GEEN "end tot end encryptie".

Frame164 @Anoniem: 1322 • 29 november 2021 13:51

Technisch, ja. Maar als iemand de content domweg kopieert naar een onbeveiligde email communicatie dan helpen al die beveiligde zaken niets. Zo heb ik onlangs meegemaakt dat iemand een mail via Zivver niet kon openen waarop de verzender het gewoon via gmail verstuurde. Daar kan geen technische beveiliging tegenop.

musiman

@Frame164 • 2 december 2021 08:00

In mijn IT security trainingen zeg ik altijd: je kunt nog zoveel geld spenderen aan security, maar wanneer de gebruiker niet voldoende security aware is (en zich daar ook aan houdt), dan is al het geld weggegooid. Oftewel, security awareness van alle(!) medewerkers is van het hoogste belang.

batjes @Sliderhome • 29 november 2021 14:23

Valt wel mee. Zivver, Zorgmail, Cryptshare , OTS en anderen hebben een 'oplossing'. Eenmalige links, content achter login schermen.

Sliderhome @Frogy • 29 november 2021 11:50

Geen idee waarom je -1 krijgt ik ben het helemaal met je eens.

Anoniem: 316512 @Sliderhome • 29 november 2021 11:54

Nou wellicht omdat het niet klopt (dan zou de score imo naar 0 moeten, maar goed, ik modereer zelf niet). Je moet er alleen wel wat voor doen (beveiliging implementeren). Maar dat moet je met HTTPS ook doen.

Zelfde geldt voor jouw post hierboven. Het klopt gewoon simpelweg niet wat je zegt m.b.t. spoofing.

Anoniem: 316512 @Frogy • 29 november 2021 11:50

https://nl.wikipedia.org/wiki/SMTPS

Tadango @Sliderhome • 29 november 2021 11:29

Maar die wordt overal waar het goed is ingeregeld geblokkeerd. Zoek maar eens op SPF

SmokingCrop @Tadango • 29 november 2021 17:26

SPF beveiligt enkel op de from header die je niet direct ziet.

Je kan een mail sturen via je eigen mailserver, maar binnenin de email als info@tweakers.net sturen.

In Outlook zelf krijg je vervolgens gewoon info@tweakers.net te zien. Pas als je via eigenschappen /internet-headers gaat kijken, kan je met de nodige kennis eruit halen dat de mail helemaal niet van tweakers.net gestuurd is.

Daarom is DMARC zo van belang.
Er zijn 2 FROM's bij email.

Sliderhome @Tadango • 29 november 2021 11:47

SPF, werkt alleen voor binnen het bedrijf (SPF controleert mail gezonden van uit eigen server), maar naar klanten van het bedrijf niet.

[Reactie gewijzigd door Sliderhome op 23 juli 2024 03:26]

SmokingCrop @Sliderhome • 29 november 2021 17:32

SPF is een advies dat je opstelt voor mailservers. Het is aan de externe mailservers om dat advies op te volgen bij een binnenkomende mail.

Alle half degelijke mailservers doen dit al jaren.

SPF (en DMARC) helpt dus ook voor externen. Het is alleen enkel een advies waarbij je verder niets aan kan doen.
Het is aan de ontvanger om hun boeltje op orde te hebben om geen spoofing van je domein te kunnen ontvangen.

Uiteraard moet je eigen spf regel ook in orde staan.

[Reactie gewijzigd door SmokingCrop op 23 juli 2024 03:26]

mjtdevries @Sliderhome • 29 november 2021 17:38

Nee, precies andersom.
SPF controleert mail verzonden vanuit andere servers.
Je ontvangt een email van afzender 123@xyz.nl van IP adres x.x.x.x en je vraagt via SPF of x.x.x.x wel geregistreerd is om email namens xyz.nl te sturen.

Dus als ik als bedrijf SPF configureer, dan kunnen met klanten controleren of mail die ze namens mij krijgen wel daadwerkelijk van mij af komt.

Xander2 @Sliderhome • 29 november 2021 11:32

tweakers.net heeft een SPF record, je kan wel proberen te verzenden in naam maar elk zichzelf respecterende server zal deze weigeren.

Anoniem: 1322 @Xander2 • 29 november 2021 11:53

Niet als je een policy aanmaakt die effectief zichzelf uitschakelt zoals Tweakers doet.

I_IBlackI_I @Sliderhome • 29 november 2021 11:27

De kans is alleen zeer groot dat de ontvanger dat niet zal accepteren

Sliderhome @I_IBlackI_I • 29 november 2021 11:28

Dat ziet hij helemaal niet.

hij ziet als afzender netjes info@tweakers.net

Voorbeeld, instellingen aangepast:
https://tweakers.testverbinding.nl/tweakers.jpg

En bij reply
https://tweakers.testverbinding.nl/reply.jpg

[Reactie gewijzigd door Sliderhome op 23 juli 2024 03:26]

Christoxz @Sliderhome • 29 november 2021 11:35

De "ontvangde mail" zal deze dan niet accepteren bij juiste SPF, DKIM & DMARC controle.
Mail wordt volledig gerejected of als spam gemarkeerd.

Edit voor je toevoeging, dan staan er dus instellingen niet goed, er wordt dus niet juist gecontroleerd of de afzender legitiem is. Hier laat T.net ook wat steken vallen.

Hier wel een mooie diagram, hoe dmarc/spf zou moeten werken.

[Reactie gewijzigd door Christoxz op 23 juli 2024 03:26]

Anoniem: 316512 @Sliderhome • 29 november 2021 11:32

In dit geval is het waarschijnlijk zo dat een interne mailbox is gehacked (en/of een Exchange server). Toch wat anders dan het spoofen waar jij het over hebt, waar je technisch wel wat tegen kan doen zoals @Rolfie al opmerkt.

kodak

Phishing
Malware

@Sliderhome • 29 november 2021 15:56

Zo kan je alles onveilig noemen, aangezien niets zonder risico is. Het probleem is niet dat het onveilig is, maar wat er hier mis gaat en wat daar tegen valt te doen. Je noemt iets wat niet zomaar door je mailserver of de mailserver van iemand anders geaccepteerd hoeft te worden. En in dit geval komen de mails kennelijk van echte interne accounts.

Anoniem: 5897 @Sliderhome • 29 november 2021 16:46

Dit komt omdat Tweakers een zooitje maakt van hun DNS records. In principe kun je, bij iemand die wel z'n zaken voor elkaar heeft, niet spoofen. Maar net als thuis, als je alles wagenwijd laat openstaan, dan wordt de boel gejat. Dus ja, je kan inderdaad lekker spammen uit naam van tweakers.net.

Op basis daarvan stellen dat e-mail nooit veilig is.. mja.. nog niet helemaal begrepen denk ik?

duderuud 29 november 2021 11:22

Weer een goede reden om macro's en ActiveX uit te schakelen in Office...

Tadango @duderuud • 29 november 2021 11:29

Macro's uitschakelen maakt een hoop bedrijven onwerkbaar

Hele system zijn gebouwd in Excel......

[BoSS] @Tadango • 29 november 2021 11:30

Dit dus - nooit aan shadow IT beginnen maar alleen veilige en beheersbare oplossingen accepteren. Die oplossingen worden niet alleen onwerkbaar als je macro's uitschakelt maar ook als de medewerker die het gebouwd heeft onder de tram komt.

cariolive23 @[BoSS] • 29 november 2021 14:55

Dit dus - nooit aan shadow IT beginnen maar alleen veilige en beheersbare oplossingen accepteren.

De IT-afdeling begint daar ook maar zelden aan. Wat vaker voorkomt, is dat de IT afdeling niet levert wat de andere afdelingen in een bedrijf nodig hebben en dat deze dan zelf maar wat gaan knutselen. En dat noemen we ook wel shadow IT.

maar ook als de medewerker die het gebouwd heeft onder de tram komt.

Dat zie ik dan eerder als een oplossing, dan als een probleem...

Dat zal ze leren!

Misschien ook een idee voor de IT-afdelingen om eens te luisteren naar de behoeftes van de klanten.

Piemol @cariolive23 • 29 november 2021 20:05

Denk ook aan de slimme managers die alleen korte termijn oplossingen wil en geen tijd/geld wil besteden aan de langere termijn of bedrijfsbrede oplossingen.

Time to market? Yesterday!
Proof of concept goed? Dan hoeft die niet in het IT landschap geïntegreerd te worden, want het werkt toch al!!
Budget voor de nieuwste iPhones? Zonder ROI? Ja doen!

Dan versnippert je IT landschap per direct.

Edit: ik heb het hier met name over projecten die door de manager 'intern' blijven, dus die halen het daardoor niet eens om aanbesteed te worden.

[Reactie gewijzigd door Piemol op 23 juli 2024 03:26]

cariolive23 @Piemol • 29 november 2021 20:31

En hier tegenover staat dus de IT manager die alleen maar lange termijn en/of bedrijfsbrede oplossingen wil implementeren die nooit gaan komen. Althans, dat is de beleving van de klant en maak ik zelf ook nog iets te vaak mee.

Klant van mij heeft 4 jaar geleden een software pakket gekocht ter vervanging van ons pakket die daar al sinds 2012 draait. IT is nu al 4 jaar bezig met de "migratie", maar levert niks. Ze krijgen dat product niet aangesloten op hun andere systemen en de performance is om te janken. Dit voorjaar hebben wij een nieuwe versie van ons systeem aan de klant verkocht, omdat ze toch verder moeten. Duurde ook een maand om te installeren, voornamelijk wachten op handtekeningen van IT managers en het testen. De klant heeft de hoop al opgegeven dat het andere product ooit nog in productie gaat. Met dank aan de IT-afdeling! De oorspronkelijke integratie hebben we toen in 2012 in 3 maanden gedaan, toen de desbetreffende IT-afdeling zeer kort werd gehouden door de directie.

Commercieel voor ons een mooie score, maar als vakgenoot ben je niet trots op deze sabotage praktijken. En dan kun je wel gaan jammeren over shadow IT, maar dat heb je vrijwel altijd aan jezelf te danken.

My2Cents

Tadango @[BoSS] • 29 november 2021 12:00

Helemaal mee eens, maar in de praktijk werkt het toch anders. Als IT geen applicatie / oplossing heeft maar de business heeft wel een oplossing nodig dan maken sommigen deze zelf. Dat zie je veel bij de grote bedrijven en zal ook niet snel veranderen. IT bied tegenwoordig steeds meer supported tooling hiervoor aan maar Excel is voor een hoop toch even makkelijk en daar blijven ze in hangen.

Maar dat zou dit probleem ook niet oplossen gezien hun interne machines gehacked zijn. Je krijgt dan altijd meer binnen dan je zou willen. Van externe bronnen blokkeer je normaal excel met macro's en heb je het probleem eigenlijk niet.

Yoshi @Tadango • 29 november 2021 13:41

-> die macro's kunnen gecontroleerd worden door IT, die worden op een share gezet, en alleen macro's op die share mogen uitgevoerd worden (kan via gpo) Dit kost wat tijd, maar is het zeker en wel waard. Het is ook niet 100% sluitend, maar het is weer die extra stap. Efin, zo zijn er natuurlijk tig dingen die kunnen geïmplementeerd worden (activeX is nog zo'n stukje waar je best wel wat tijd wilt insteken)

Frame164 @Yoshi • 29 november 2021 13:54

Dat zou inderdaad het beste zijn. Maar dan moet IT ook bereid zijn om in tijdkritische projecten actief deel te nemen. Dus als een bedrijf bijvoorbeeld werkt aan een grote tender met een keiharde deadline, dan moet IT er bij zijn, en flexibel genoeg zijn om processen te borgen, maar op een veilige manier te kunnen bypassen als dat nodig is. Voorbeeld: wij hebben op het werk systemen die we gebruiken voor de pricing van grote tenders. De klant vraag echter de pricing in een andere formaat. De praktijk is dat je een export maakt en met macro's en soms VBA de output aanpast. Dat zou iets kunnen zijn waar IT actief bij helpt.

kakanox @Tadango • 5 december 2021 14:44

Vaak is het de moeite om eens naar een platform als bijvoorbeeld Mendix te kijken. PowerApps kan ook maar is in mijn optiek moeilijk beheersbaar te houden, zowel qua kosten als technisch.

Anoniem: 316512 @Tadango • 29 november 2021 11:34

ActiveX is wel een stukje sneller uit te schakelen en zou dit specifieke issue (deels) oplossen. De phishers kunnen echter wel nog andere e-mails sturen en bijv. een ander bankrekeningnummer meegeven en vragen om een betaling.

Anoniem: 1322 @Tadango • 29 november 2021 13:04

Macro's uitschakelen maakt een hoop bedrijven onwerkbaar Hele system zijn gebouwd in Excel......
Dan richt je een werkgroep op om deze zaken uit te faseren. Niet alleen bevind je je in een vendor-lock in maar dit is een zeer groot risico voor je bedrijfsvoering. Maar blijkbaar moeten sommige bedrijven daar zelf eerst achter komen. Maar met de toestroom van dit soort criminaliteit lost het probleem zich gelukkig vanzelf op. Als men de aanval overleeft, uiteraard.

Tadango @Anoniem: 1322 • 29 november 2021 13:10

Theorie != praktijk. IT loopt op veel plekken jaren achter en kan het niet in halen in enkele jaren. Business s groot, IT is klein en druk vaak.

Anoniem: 1322 @Tadango • 29 november 2021 14:34

Je kunt prima iemand inhuren om je dit probleem op te lossen. Het probleem is altijd welke prioriteit men stelt, dit is geen technisch probleem.

Tadango @Anoniem: 1322 • 29 november 2021 14:37

Veel problemen zijn geen technische probleem, dat wil niet zeggen dat je het zomaar kan oplossen. Bedrijven veranderen niet snel en daar zit de kern van het probleem. IT kan dus niet zomaar beperkingen op leggen die logisch lijken omdat het teveel verstoring teweeg brengt. Eerst de legacy oplossen maar dat kan enorm lang duren....

Anoniem: 1322 @Tadango • 29 november 2021 15:55

Tja, met die instelling draai je inderdaad over 10 jaar gewoon nog excel macro's.
Maar ik vind het ook geen probleem, zoals ik al stelde:
Maar blijkbaar moeten sommige bedrijven daar zelf eerst achter komen. Maar met de toestroom van dit soort criminaliteit lost het probleem zich gelukkig vanzelf op. Als men de aanval overleeft, uiteraard.

Veel crypto malware maakt uitgebreid gebruik van macro's, dus die bedrijven die macro's toestaan, leren het vanzelf wel. Geen medelijden aan deze kan in ieder geval.
Trickbot
Qbot
Dridex
Zloader

Yoshi @Anoniem: 1322 • 29 november 2021 13:46

meestal als je dat als IT helemaal blokkeert, dan pas open je de doos van Pandora. Gebruikers beginnen dan louche zaken te doen. Diezelfde gebruikers die meestal liggen te klooien met een knop beginnen dan de meest fantastische dingen te doen op je computers om een handeling te kunnen automatiseren.
imho is onderstaande beter wat betreft macro's. En daar kan best veel aan gesleuteld worden om het zo veilig mogelijk te maken. En dan kan je nog kijken wat je er mee doet als IT-afdeling.
1. opleiding
2. ondersteuning
3. beheer

En verder, ik weet nu al wat uit een bepaald deel van die werkgroepen gaat komen
1. wij snappen eigenlijk niet eens wat u doet, zeker in universitaire settings ofzo
2. dat gaat niet anders, tenzij we die tool kopen voor zoveel duizend euro per jaar ( alsof dat dat trouwens geen vendor lock in is)

[Reactie gewijzigd door Yoshi op 23 juli 2024 03:26]

Anoniem: 1322 @Yoshi • 29 november 2021 15:23

meestal als je dat als IT helemaal blokkeert, dan pas open je de doos van Pandora. Gebruikers beginnen dan louche zaken te doen.
Je moet natuurlijk ook geen dingen blokkeren. IT faciliteert, het is geen dictator. Je moet dan ook eerst een alternatief aanbieden voordat je het oude weggehaald.

Maar wij moeten wel een veilige werkplek faciliteren. En met Macro's ingeschakeld kun je dit per definitie niet garanderen.

Ootje70 29 november 2021 11:27

Er wordt dan toch geen gebruik gemaakt van mailboxen maar gewoon van emailadressen. Een keer een mail-lek naar buiten met alle adressen (reply-to-all) of een stukje social engineering (namen van
LinkedIn en de mailadres conventies van het bedrijf) en je hebt een heel grote groep adressen bij een organisatie te pakken.

[Reactie gewijzigd door Ootje70 op 23 juli 2024 03:26]

prodesk 29 november 2021 11:39

Je zou denken dat zo'n grote partij hun zaakjes, zeker email wel op orde heeft.

cowbalt 29 november 2021 11:47

Zo ver ik begrijp uit de artikelen, zijn ze middels exploits op de Exchange server binnen gedrongen

Threat actors have recently begun to compromise internal Microsoft Exchange servers using the ProxyShell and ProxyLogin vulnerabilities to perform phishing attacks.

Once they gain access to a server, they use the internal Microsoft Exchange servers to perform reply-chain attacks against employees using stolen corporate emails.

Het lijkt er dus op dat de phishing mails ook vanuit de interne Exchange server verzonden zijn, Kun je SPF, DKIM en DMARC, enz goed hebben ingesteld, maar staat hier dus volledig los van.

Bewijst maar weer dat segmentatie, een goede IPS voor het netwerk, en goede endpoint security met o.a. exploit en Botnet detectie technieken onmisbaar zijn.

jvr 29 november 2021 11:50

Mijn ervaring is dat Linkedin gebruikt wordt een Phising te starten. Je kan vaak zoal de structuur en namen van medewerkers van een bedrijf achterhalen. En dan is het een kwestie van gericht te mailen etc...
Zelfs goed beveiligde bedrijven vallen te prooi aan dit soort aanvallen. Dit heeft namelijk minder met beveilig te maken maar met processen (hoe gaan betaalverzoeken, 4 ogen principes, wat doen als bank gegevens wijzigen etc). Daarnaast moeten medewerkers digitaal sterk gemaakt worden, zodat ze zo'n aanval herkennen of een onderbuikgevoel krijgen...

prodesk 29 november 2021 14:00

Daarom raad ik aan hun mail gewoon bij O365 onder te brengen

Muncher @prodesk • 29 november 2021 15:05

Waarom adviseer je dat dan precies?

Anoniem: 5897 @prodesk • 29 november 2021 16:39

In O365 kan je ook gewoon een puinzooi maken hoor..

DraZ666 @prodesk • 29 november 2021 21:00

Ze maken gebruik van O365, een vd grootste debacles van het hele interne it systeem van afgelopen jaren.
Ik was tot zeer recent werkzaam bij Ikea, ergens 2 jaar geleden vonden ze het een goed idee om alles in de cloud te gaan draaien, maar met hun instabiele netwerk kon je om de haverklap niet bij je documenten.
Daarnaast werden de pcs elke week midden in het process ge-update zodat weer 25 man stil stonden en zo hebben ze nog wel meer van dat soort dingen.

Ikea en IT is niet zo'n fantastische combinatie.

Muncher 29 november 2021 11:55

Ik snap niet helemaal hoe deze aanval werkt, dit "reply-chain phishing". Het klinkt alsof een (onder)leverancier van Ikea is aangevallen. De aanvallers hebben vanuit die systemen de communicatie met Ikea overgenomen. Zie ik dit goed? Of werkt deze aanval anders?

bytemaster460 @Muncher • 29 november 2021 14:56

reply-chain phishing wil alleen zeggen dat de aanvaller doen alsof er al een bestaande mailwisseling gaande is. Losse mailtjes zijn niet meer effectief. Veel mensen herkennen direct dat het om een phishingmail gaat. Er staat dus nu een nepconversatie onder zodat de ontvanger kan denken dat de mail onderdeel is van een bestaande mailwisseling en het dus eerder vertrouwt (al zou ik de getoond mail van Ikea ook voor geen meter vertrouwen...)

Op dit item kan niet meer gereageerd worden.

Interne e-mailadressen IKEA-medewerkers gebruikt voor verspreiden van malware

Lees meer

IT-banen

Reacties (71)

Sorteer op:

Weergave: