Recente security-incidenten hebben de kwetsbaarheid van bedrijfsaccounts op platforms zoals Facebook nog maar eens aangetoond. Criminelen hacken bedrijfsaccounts en gebruiken dit account als stepping stone om derde partijen geld afhandig te maken. Dat leidt niet alleen tot financiële schade, maar ook tot ernstige reputatieschade voor de getroffenen.
In deze blog ga ik dieper in op een specifiek voorbeeld. Aan de hand van deze praktijkcase deel ik vervolgens enkele essentiële tips om een vijandige accountovername te voorkomen.
Het doemscenario
Stel je voor: je runt een marketingbureau en op een dag ontdek je dat je zakelijke Facebook-account is geblokkeerd. Maar niet alleen dat, er zijn ook aanzienlijke geldbedragen afgeschreven via de creditcard die aan je zakelijke Facebook-account is gekoppeld. Helaas is dit precies wat er recent is gebeurd bij enkele marketingbureaus.
Hoe gaan criminelen te werk?
Social media-platforms zoals Facebook worden gefinancierd door advertenties, ook cybercriminelen hebben dat in de gaten. Maar in plaats van eigen accounts te creëren en het risico te lopen op blokkering, kapen ze liever de accounts van anderen. Daarvoor benaderen ze hun slachtoffers vaak met een aanbod dat bijna te mooi lijkt om waar te zijn. Hierbij doen ze zich meestal voor als vertegenwoordigers van een gerenommeerd bedrijf.
Bij een recent geval deden de criminelen zich voor als vertegenwoordigers van een bekend bedrijf dat op zoek is naar een marketingbureau.
De criminelen gebruiken direct messaging om contact te leggen met hun slachtoffers. Ze schermen met hoge budgetten en verstrekken gedetailleerde informatie in een document dat nog wel even moet worden gedownload. Dit document, opgeslagen in Microsoft OneDrive, lijkt onschuldig maar bevat een verborgen, kwaadaardig bestand.
De aanval
Eenmaal geopend, extraheert de malware sessietokens en inloggegevens van verschillende browsers. Sessietokens fungeren als de “ID-kaart” van de browser en geven onbeperkte toegang tot het account.
De gestolen gegevens worden naar een door de hacker gecontroleerde telegram-bot gestuurd. Tegelijkertijd wordt een bestand gecreëerd om de malware bij elke systeemstart te activeren. Na een acceptabele wachttijd nemen de hackers het account over en sluiten ze de eigenaren buiten.
Nu dat zij in het bezit zijn van het Facebookaccount gebruiken ze de gekoppelde betaalgegevens voor hun eigen gewin. Zo promoten ze bijvoorbeeld frauduleuze aanbiedingen waarbij klanten voor producten of diensten betalen die nooit worden geleverd. Of posten ze reclame voor phishing-pagina’s met malware. Door deze manier van hacken draaien de marketingbureaus op voor de kosten van de sponsored posts en verdienen de hackers tegelijkertijd geld.
Bescherming tegen accountovernames
Het voorkomen van accountovernames vereist alertheid en proactieve maatregelen. Met de onderstaande tips vergroot je jouw zakelijke online veiligheid en bescherm je jezelf tegen de nadelige gevolgen van malafide accountovernames via Facebook.
- Niet permanent inloggen: zorg ervoor dat je na gebruik volledig uitlogt om het risico op diefstal van sessietokens te minimaliseren.
- Gebruik multi-factorauthenticatie: verhoog je beveiligingsniveau door multi-factorauthenticatie in te schakelen.
- Wees sceptisch over directe berichten en links: klik niet op ongevraagde links en wees voorzichtig met directe berichten, zelf als ze afkomstig lijken van bekende bedrijven.
- Gebruik een wachtwoordmanager: kies voor een wachtwoordmanager in plaats van de ingebouwde “onthoud wachtwoord”-functie van een browser.
Tim Berghoff is Security Evangelist bij G DATA Software
