Det är it-säkerhetsföretaget Proofpoint som i en rapport skriver att de sedan sex månader tillbaka ser attacker mot tjänsterna Office 365 från Microsoft och Googles G Suite, och att dessa attacker utnyttjar e-postprotokollet IMAP för att ta sig runt den tvåfaktorsautentisering som dessa tjänster använder sig av.
Enligt Proofpoints analys är det IMAP-protokollet i sig som rundar tvåfaktorsautentiseringen, vilket medför att cyberkriminella antingen kan logga in på onlinetjänsternas konton genom att nätfiska sig till lösenord, eller genom att automatiserat testa många lösenord, en så kallad brute force-attack. Eftersom förövarna rundar tvåfaktorsautentiseringen räcker det att komma över lösenordet.
– De flesta stora kunder till Office 365 har hackade konton, vi ser detta överallt. Dessa företag upptäcker att de är hackade genom att de ser misstänkta omdirigeringar av e-post internt i organisationen. I Sverige har dock Google G Suite inte samma utbredning som Office 365 så vi har inte samma överblick över den tjänsten lokalt, säger Fredrik Möller, Country Manager för Norden och Baltikum på Proofpoint.
Analysen som genomförts mellan september förra året och februari i år, visar att cirka 60 procent av kunderna till Office 365 och G Suite har utgjort måltavla för attackerna, och som ett direkt resultat av detta, lyckades attackerna mot cirka 25 procent av kunderna. Efter ytterligare analyser har Proofpoint kommit fram att, allt som allt, lyckades förövarna med sina riktade attacker nästan hälften av gångerna - 44 procent.
Efter att Proofpoint gått igenom ungefär 100 000 otillåtna inloggningar över ”miljontals övervakade konton i molntjänsterna” kom de fram till att:
- 72 procent av tjänsternas kunder utsatts för attacker minst en gång.
- 40 procent av kunderna hade fått minst ett av sina konton komprometterade.
- Över två procent av de aktiva användarna blev attackerade.
- 15 per 10 000 aktiva konton blev komprometterade.
De IMAP-baserade lösenordsattackerna mot de konton som är skyddade av tvåfaktorsautentisering inom Office 365 och G Suite ökade kraftigt under analysperioden, med en topp i december, och förövarna riktade in sig specifikt mot ”högprofilerade användare som högre chefer och deras administrativa assistenter”.
– Vi ser en otrolig ökning av gruppmailboxar och de har inte samma säkerhet. Det är svårt för organisationerna att övervaka dessa mejlboxar och se vem som gör vad. Hackarna älskar dessa gruppboxar och inriktar ofta sina attacker mot dem, säger Fredrik Möller.
Attackerna kunde observeras komma från framför allt Nigeria och Kina - 40 procent sågs komma från Nigeria och 26 procent från Kina. Förövarna utnyttjade sårbara nätverksenheter som routrar och servrar som plattformar för sina attacker.
Även om det nya i dessa attacker är att de rundar tvåfaktorsautentiseringen genom IMAP, använde förövarna beprövade tekniker som nätfiske och uttömmande attacker för att komma över eller hitta rätt lösenord. Förövarna använde sig bland annat av de enorma lösenordslistor som cirkulerar och är till försäljning på den svarta marknaden.
– Ett stort problem med dessa online-tjänster är att användarvänligheten står i konflikt med säkerheten; det ska vara användarvänligt. Men det innebär att de inte har inbyggda mekanismer mot brute-force-attacker - hackarna kan testa hur många lösenord som helst, från en massa olika ip-adresser, utan att systemen reagerar. Det finns hur mycket listor med stulna lösenord som helst; det här gör att förr eller senare lyckas hackarna ta sig in, säger Fredrik Möller.
Att toppen i december sammanfaller med avslöjandet av den så kallade Collection #1-samlingen av stulna lösenord anses inte vara en slump. Collection #1 är en fil på 87 gigabyte som anses innehålla 773 miljoner unika lösenord, och senare har det uppdagats flera samlingar med filer på totalt 993 gigabyte. Just dessa samlingar kom ut på den öppna svarta marknaden under december, men kan ha cirkulerat i hackerkretsar lång tidigare.
När de cyberkriminella väl lyckats komma in på ett konto har de spridit skadlig kod inom den organisation kontot tillhör; de har fått tillgång till konfidentiell information som kan säljas eller användas till framtida attacker; de har även lyckats omdirigera betalningar till sina egna konton genom att de kommit över offer-organisationernas lönesystem och bankkonton.
Förövarna har även lyckats ändra i reglerna för vidarebefordran och delegering av epost bland annat för att sätta in man-i-mitten-attacker, och de har kunnat nätfiska sig till kontouppgifter i andra organisationer eftersom de kunnat utge sig för att tillhöra en legitim organisation.
I höstas kom även säkerhetsföretaget McAfee med en rapport som visar att säkerheten molntjänsternas kunder lämnar en del övrigt att önska, vilket TechWorld skrev om i samband med rapporten. McAfee fokuserade i sin rapport på IaaS-tjänster och specifikt på Amazons AWS och S3 Buckets, och kom fram till att 92 procent av kunderna har minst ett hackat konto, men också att detta inte beror på några fel tjänsten utan på att kunderna inte konfigurerar tjänsterna på rätt sätt, eller ens vet om att de använder vissa tjänster.
Proofpoints rapport kan laddas ned här.
Läs också:
773 miljoner hackade e-postadresser i Mega-databas – nio svenska sajter drabbade
Nätfiskeattacker upp 250 procent förra året
