Vorige week werd ik opgebeld door een bedrijfsleider die mij meldde dat ze gehackt waren en hulp nodig hadden vermits hun vaste IT partner niet meteen konden helpen. Meteen langs geweest om te bekijken wat er aan de hand was en hij was inderdaad slachtoffer geweest van phishingaanval. Phishing is naast hacking een groot probleem omdat nietsvermoedende werknemers gevraagd wordt om hun login en wachtwoord in te vullen. Helaas niet om zich te authentiseren bij een legitieme website maar bij een nagemaakte website.
Er was dus in naam van de bedrijfsleider een e-mail verstuurd naar alle klanten en leveranciers met daarin een link naar een virus. Na het blokkeren van zijn account kon ik de schade opmeten. Op basis van de AzureAD logfiles bleek dat zijn wachtwoord al 2 weken geleden werd gebruikt om in te loggen en zijn data te raadplegen.
De hacker had ook een e-mail regel aangemaakt om binnenkomende e-mails te verwijderen. Veel klanten en leveranciers hadden geantwoord met de vraag wat er aan de hand was maar die e-mails kon hij niet zien.
Er werd gelukkig geen data verwijderd want via zijn Office365 account had de aanvaller ook toegang tot de Team share. Het had dus veel erger kunnen zijn.
Hoe vermijden?
Nu komen we dus aan twee-stap-authenticatie waarbij je naast je wachtwoord nog iets anders nodig hebt om in te loggen. Dit zou bovenstaande aanval al onmogelijk gemaakt hebben. Naast het invoeren van je wachtwoord heb je dan nog een code nodig die je via sms (onveilig) of een Authenticator app kan ontvangen.
Om dergelijke aanval in de toekomst onmogelijk te maken werden alle wachtwoorden gewijzigd en werd twee-staps-authenticatie via de Microsoft Authenticator app geactiveerd. Deze app werkt zowel op Android als IOS.
Het nut van twee-stap-authencitatie werd door hun IT partner in vraag gesteld en afgeraden maar na een phishingaanval moet je toch kunnen toegeven dat deze aanval zware gevolgen kon hebben voor het bedrijf. De bedrijfsleider was akkoord om de extra beveiligingsmaatregelen te implementeren dus heb ik dat ook gedaan.
Daarnaast werd ook duidelijk dat de logingegevens van de bedrijfsleider gebruikt werden om binnen applicaties e-mails te versturen. Dit is uiteraard geen goede werkwijze want hiervoor gebruik je best een functionele mailbox. Dit werd dus ook aangepakt.
Verwijderde data
Nu werd er geen data verwijderd maar indien de hacker dit gedaan had was er geen manier om deze gegevens terug te halen want er was geen backup voorzien. Om voorbereid te zijn werd dit voor alle accounts en bedrijfsshares geactiveerd. ELMORE is DropSuite partner waardoor de data op een andere locatie geencrypteerd bewaard wordt. Dit kan ook van pas komen bij een ransomware aanval.
