Nya studier från Barracuda Research visar hur snabbt moderna e-postattacker kan utvecklas till fullskaliga säkerhetsincidenter. I en kontrollerad simulering genomförd av Barracudas Red Team ledde ett enda nätfiskemejl till identitetsstöld, kringgående av multifaktorautentisering och varaktig åtkomst.
Resultaten presenteras i samband med lanseringen av Barracudas AI-drivna lösning Integrated Email Protection, som ska ge bättre skydd mot en föränderlig hotbild.
– Den här forskningen visar hur AI ökar både hastigheten och komplexiteten i cyberattacker. Genom att kombinera AI-genererat nätfiske, kapning av sessioner och metoder för social manipulation kan angripare gå från ett övertygande mejl till att kompromettera ett konto på bara några minuter, säger Kristian Lundström, lösningsarkitekt på Barracuda Networks.
– Organisationer behöver utgå från att vissa nätfiskemejl kommer att nå fram till användare och därför fokusera på lagerbaserat skydd, kontinuerlig övervakning och snabb respons för att stoppa attacker innan de eskalerar, fortsätter han.
Så gick attacken till
Barracudas Red Team använde generativ AI för att skapa ett trovärdigt nätfiskemejl med en brådskande begäran om ett dokument. Mejlet öppnades 21 minuter senare och mottagaren klickade på en länk till en falsk inloggningssida som efterliknade Microsoft.
Inom 60 sekunder hade användaren angett sina inloggningsuppgifter. Angriparna hade då omdirigerat inloggningsflödet för att kunna fånga upp informationen som utväxlades mellan användaren och Microsoft.
När Microsoft skickade en multifaktorautentisering tog det ytterligare en minut innan användaren genomförde verifieringen. Även denna information fångades upp av angriparna.
Inom två minuter efter klicket hade angriparna tillgång till användarnamn och lösenord, sessionsuppgifter samt autentiseringscookie. Med hjälp av den stulna sessionen fick de åtkomst till användarens e-postkonto.
De kunde läsa och skicka mejl i användarens namn, få åtkomst till SharePoint och OneDrive, skapa regler i inkorgen för att dölja sin aktivitet samt godkänna skadliga appar för att behålla åtkomsten även efter att sessionen löpt ut.
I ett så kallat ClickFix-bedrägeri uppmanades användaren att genomföra ytterligare ett verifieringssteg. När en kod klistrades in aktiverades ett skadligt skript som användes för att få ett första fäste i miljön.
Inom fem minuter från första klicket hade angriparna säkrat varaktig åtkomst till miljön, vilket gjorde det möjligt att återvända, utöka åtkomsten och installera ytterligare skadlig kod.
Attacken kan sedan snabbt utvecklas vidare, exempelvis genom utökade behörigheter, datastöld, kryptering eller sabotage, enligt Barracuda.
– Angripare använder allmänt tillgänglig AI och avancerade metoder för att ta sig förbi traditionella skydd och genomföra sina attacker. Vår simulering visar hur snabbt de kan få fotfäste i en miljö och behålla åtkomsten. Det understryker ett akut behov av kontinuerlig, realtidsbaserad och automatiserad e-postsäkerhet som kan upptäcka och stoppa hot även efter att de nått inkorgen, säger Merium Khalid, Director, AI and Automation, Office of the CTO på Barracuda.
Flera skyddslager behövs
Barracuda skriver att enskilda säkerhetsåtgärder inte räcker för att stoppa moderna, AI-drivna flerstegsattacker via e-post. I stället lyfts ett lagerbaserat skydd som fungerar kontinuerligt genom hela attackförloppet.
Viktiga åtgärder som nämns är multifaktorautentisering som är motståndskraftig mot nätfiske, till exempel säkerhetsnycklar, avancerat e-postsäkerhetsskydd med upptäckt i realtid, stark e-postautentisering som Domain-based Message Authentication, Reporting and Conformance samt utbildning av användare kring föränderliga metoder för social manipulation.
Säkerhetsteam bör också övervaka avvikande inloggningar, till exempel ovanlig plats, enhet eller tidpunkt, misstänkt beteende efter inloggning samt tecken på fortsatt obehörig åtkomst som nya inkorgsregler eller schemalagda aktiviteter.
