Nya studier från Barracuda Research visar hur snabbt moderna e‑postattacker kan utvecklas till fullskaliga säkerhetsincidenter. I en kontrollerad simulering genomförd av Barracudas Red Team ledde ett enda nätfiskemejl till identitetsstöld, kringgående av multifaktorautentisering (MFA), varaktig åtkomst och kompromettering av en enhet. Allt på bara fem minuter.
Resultaten presenteras i samband med lanseringen av Barracudas AI‑drivna lösning Integrated Email Protection som är utvecklad för att ge effektivt skydd mot en snabbt föränderlig hotbild.
– Den här forskningen visar hur AI ökar både hastigheten och komplexiteten i cyberattacker. Genom att kombinera AI‑genererat nätfiske, kapning av sessioner och metoder för social manipulation kan angripare gå från ett övertygande mejl till att kompromettera ett konto på bara några minuter, säger Kristian Lundström, lösningsarkitekt på Barracuda Networks.
– Organisationer behöver utgå från att vissa nätfiskemejl kommer att nå fram till användare och därför fokusera på lagerbaserat skydd, kontinuerlig övervakning och snabb respons för att stoppa attacker innan de eskalerar, fortsätter han.
Så gick attacken till:
• Barracudas Red Team använde generativ AI för att skapa ett trovärdigt nätfiskemejl med en brådskande begäran om ett dokument.
• Mejlet levererades till mottagaren som öppnade det 21 minuter senare och klickade på en länk till en falsk inloggningssida som efterliknade Microsoft.
• Inom 60 sekunder hade användaren angett sina inloggningsuppgifter. Angriparna hade omdirigerat inloggningsflödet för att kunna fånga upp informationen som utväxlades mellan användaren och Microsoft.
• När Microsoft skickade en MFA‑förfrågan tog det ytterligare en minut innan användaren genomförde verifieringen. Även denna information fångades upp av angriparna.
• Inom två minuter efter klicket hade angriparna tillgång till användarnamn och lösenord, sessionsuppgifter samt autentiseringscookie.
• Med hjälp av den stulna sessionen fick angriparna åtkomst till användarens e‑postkonto. De kunde läsa och skicka mejl i användarens namn, få åtkomst till SharePoint och OneDrive, skapa regler i inkorgen för att dölja sin aktivitet samt godkänna skadliga appar för att behålla åtkomsten även efter att sessionen löpt ut.
• I ett så kallat ClickFix‑bedrägeri uppmanades användaren att genomföra ytterligare ett verifieringssteg. När en kod klistrades in aktiverades ett skadligt skript som användes för att få ett första fäste i miljön.
• Inom fem minuter från första klicket hade angriparna säkrat varaktig åtkomst till miljön, vilket gjorde det möjligt att återvända, utöka åtkomsten och installera ytterligare skadlig kod.
• Attacken kan sedan snabbt utvecklas vidare, exempelvis genom utökade behörigheter, datastöld, kryptering eller sabotage, allt möjliggjort genom det initiala nätfiskemejlet.
– Angripare använder allmänt tillgänglig AI och avancerade metoder för att ta sig förbi traditionella skydd och genomföra sina attacker. Vår simulering visar hur snabbt de kan få fotfäste i en miljö och behålla åtkomsten. Det understryker ett akut behov av kontinuerlig, realtidsbaserad och automatiserad e‑postsäkerhet som kan upptäcka och stoppa hot även efter att de nått inkorgen, säger Merium Khalid, Director, AI and Automation, Office of the CTO på Barracuda.
Så kan organisationer stärka sitt skydd
Enskilda säkerhetsåtgärder räcker inte för att stoppa moderna, AI‑drivna flerstegsattacker via e‑post. Organisationer behöver ett lagerbaserat skydd som fungerar kontinuerligt genom hela attackförloppet.
Viktiga åtgärder inkluderar:
• MFA‑lösningar som är motståndskraftiga mot nätfiske, till exempel säkerhetsnycklar
• Avancerat e‑postsäkerhetsskydd med upptäckt i realtid
• Stark e‑postautentisering, till exempel DMARC
• Utbildning av användare kring föränderliga metoder för social manipulation
• Begränsning av åtkomst till verktyg som ofta utnyttjas av angripare
Säkerhetsteam bör även övervaka avvikande inloggningar, till exempel ovanlig plats, enhet eller tidpunkt, misstänkt beteende efter inloggning samt tecken på fortsatt obehörig åtkomst som nya inkorgsregler eller schemalagda aktiviteter.
