3 min Security

Ware tsunami aan spoof-mails door misbruik Proofpoint-diensten

Ware tsunami aan spoof-mails door misbruik Proofpoint-diensten

Een kritieke exploit in de dienst van e-mailbeveiliger Proofpoint heeft ervoor gezorgd dat miljoenen spoof-mails zijn verzonden die afkomstig leken te zijn van grote bedrijven als Disney, IBM, Nike en Coca-Cola. In werkelijkheid kwamen ze van cybercriminelen die officiële email-relays met geauthentiseerde SPF en DKIM-signatures misbruikten. De kwetsbaarheid is inmiddels verholpen.

De phishingmails waren zogenaamd van grote bedrijven afkomstig en spoorden ontvangers aan verlopen accounts te herstellen of zelfs geld over te maken. De criminelen wisten zo creditcard-gegevens te stelen en in sommige gevallen slachtoffers zelfs geld afhandig te maken.

De actie is door de criminelen ‘Echospoofing’ genoemd. Dat meldt securitybedrijf Guardio Labs, dat met Proofpoint samenwerkte om de campagne in kaart te brengen en uiteindelijk te stoppen.

Authentiek uitziende mails

Het bijzondere aan de spoofing-methode is dat de criminelen een correct geconfigureerd Sender Policy Framework (SPF) gebruikten en de juiste Domain Keys Identified Mail (DKIM)-handtekeningen. Dat zorgde er niet alleen voor dat de mails security-maatregelen wisten te omzeilen, maar er ook bijzonder authentiek uit zagen voor ontvangers.

Miljoenen mails verstuurd

De spoofing-campagne begon in januari van dit jaar, waarbij dagelijks gemiddeld 3 miljoen mails werden verzonden. Het hoogtepunt was begin juni, met zo’n 14 miljoen dagelijkse mails. De verzonden e-mails werden allemaal verstuurd vanuit één familie van relay servers, namelijk pphosted.com, behorende bij Proofpoint. In mei ontdekte Guardio Labs de campagne en werkte het samen met Proofpoint om deze te stoppen.

De malafide actoren gebruikten SMTP-servers om vervalste e-mails te maken en verstuurden deze via de servers van Proofpoint met behulp van gecompromitteerde of malafide Microsoft Office 365-accounts.

Configuratie misbruikt

Deze e-mails, verzonden via Virtual Private Servers (VPS) gehost door OVHCloud en Centrilogic, wisten SPF (Sender Policy Framework)-controles te omzeilen omdat de door Proofpoint geconfigureerde SPF-records bij gebruik van Office 365 te tolerant waren. Toegang tot een Proofpoint-relay server was al mogelijk via elk willekeurig Office 365-account. Door deze configuratie konden de criminelen dergelijke accounts misbruiken om e-mails door te sturen via de service van Proofpoint.

De manier waarop Proofpoint’s DKIM (DomainKeys Identified Mail)-instellingen had geconfigureerd, zorgden daarnaast voor een correcte ondertekening van de e-mails, wat bijdroeg aan hun zogenaamde legitimiteit. Grote platforms als Gmail visten de mails er hierdoor niet uit, bijvoorbeeld.

Proofpoint heeft een gids samengesteld met daarin advies over het opzetten van stringentere anti-spoof-maatregelen. Ook bood het bedrijf hulp aan bedrijven bij het beter beveiligen van hun accounts. Ondanks de melding aan Microsoft dat er gecompromitteerde Office 365-accounts actief waren, zijn sommige van die accounts al meer dan zeven maanden in gebruik.

Lees ook: Proofpoint zet anti-spamdienst SORBS op zwart