Microsoft bestrijdt hackers door ze naar levensecht ogende IT-omgevingen van klanten te begeleiden. Via deze geavanceerde honeypots wil het Microsoft zoveel mogelijk hackersgegevens achterhalen en ze in hun activiteiten verstoren en vertragen.
In de strijd tegen phishing gaat Microsoft een stap verder in het ontwikkelen van honeypots door hackers te verleiden met levensecht uitziende Microsoft-klantenomgevingen. Deze zogenoemde ‘hybrid high interaction honey pots’ moeten hackers ertoe verleiden om toe te happen, zodat securityexperts informatie kunnen verzamelen die tot hun ondergang moet leiden.
Hiervoor hebben de experts nu complete Microsoft-klantenomgevingen nagebouwd op het uitgefaseerde code.microsoft.com. Dit is inclusief toegang tot Azure, eigen domeinnamen, duizenden gebruikersaccounts en actief verkeer zoals interne communicatie en het delen van bestanden.
Via deze nieuwe geavanceerde valstrikken kan Microsoft vervolgens de infrastructuur van de phishingcriminelen in kaart brengen, meer inzicht krijgen hoe geavanceerde phishingacties te werk gaan, op grootschalige schaal campagnes verstoren, de criminelen identificeren en hun activiteit sterk vertragen.
Tactiekverandering
Naast deze nieuwe nep-omgevingen hebben de security-experts ook de tactiek van het gebruik van honeypots veranderd. In plaats van te wachten totdat hackers deze omgevingen weten te vinden, gaan de experts nu juist actief de confrontatie aan.
Hiervoor bezoeken zij actief bekende phishing-accounts en -sites die zich richten op Microsoft-omgevingen en vullen daar de gegevens van de nep-accounts en -omgevingen in. De inloggegevens zijn expres niet van 2FA voorzien, de omgevingen bevatten veel realistisch ogende data en aanvallers kunnen makkelijk binnenkomen en tijd verspillen aan onderzoek of het een mogelijke val is.
Verzamelen en vertragen
Microsoft geeft aan dagelijks ongeveer 25.000 phishingsites in de gaten te houden. Hiervan wordt 20 procent van de honeypot-inloggegevens voorzien en de rest via CAPTCHA en ati-botmechanismes geblokkeerd.
Wanneer honeypot-gegevens worden ingevoerd, hapt ongeveer 5 procent van de hackers toe. Wanneer deze toegang krijgen tot de nep-omgevingen start er een geavanceerd logging-proces om iedere actie te tracken en daarmee te leren wat hun tactieken, technieken en procedures zijn.
Hierbij verzamelde gegevens zijn onder meer IP-adressen, gebruikte browsers, locaties, gedragspatronen, of zij VPN’s of VPS en welke phishing kits ze gebruiken. Wanneer hackers met de nep-omgevingen proberen in contact te komen, zorgt Microsoft ervoor zo weinig mogelijk te antwoorden. Volgens Microsoft zijn hackers hierdoor uiteindelijk 30 dagen bezig om erachter te komen dat zij een nep-omgeving zijn binnengedrongen.
Met de hackers data stelt Microsoft andere securityteams in staat meer complexe profielen en verdedigingsmethoden op te stellen. Microsoft geeft verder aan dat door deze geavanceerde ‘hybride’ honeypots het in staat is niet alleen niet al te slimme phishingcriminelen te bestrijden, maar ook zelfs geavanceerde financieel gemotiveerde hackersgroepen en zelf staatshackers als de Russische Midnight Blizzard (Nobelium)-bende.
Lees ook: Phishing in twee op de vijf gevallen de eerste toegangsmethode