E-mailbombing als afleidingsmanoeuvre: hoe aanvallers met gerichte e-mailstromen hun cyberaanvallen verhullen
Cyberaanvallen blijven zich ontwikkelen, niet alleen technisch, maar ook in de manier waarop ze traditionele beveiligingsmaatregelen slim omzeilen. Een opvallende tactiek is e-mailbombing: het overspoelen van mailboxen met een enorme hoeveelheid ogenschijnlijk onschuldige berichten. Het doel? Kritieke e-mails zoals phishingpogingen of berichten met malware verbergen in de massa, zodat ze moeilijker te detecteren zijn. Tegelijkertijd verhoogt het de druk op slachtoffers, die daardoor sneller reageren op verzoeken die bijvoorbeeld zogenaamd van ‘IT-support’ afkomstig zijn.
E-mailbombing als afleidingsmanoeuvre
Aanvallers gebruiken geautomatiseerde scripts om e-mailadressen aan te melden bij uiteenlopende diensten, nieuwsbrieven of webshops. Het resultaat: een tsunami aan e-mails in de inbox van het slachtoffer. Tussen deze stortvloed bevinden zich doelbewust geplaatste berichten, bijvoorbeeld met schadelijke links of geloofwaardige verzoeken van ‘supportmedewerkers’. Deze aanpak is allesbehalve hypothetisch: ze is onder meer waargenomen bij aanvallen van de ransomware-as-a-service-groep Black Basta.
De stille escalatie na de eerste golf
Darktrace zag in de afgelopen vijf maanden een stijging van meer dan 1000% in het gebruik van e-mailbombing. De methode blijkt vaak de opmaat tot bredere aanvalscampagnes. Zodra mailboxen zijn overspoeld, zoeken aanvallers contact via andere kanalen – zoals valse IT-verzoeken via Microsoft Teams of telefonische hulpvragen (vishing). Hun doel is vertrouwen opbouwen, om vervolgens via legitieme remote tools zoals Microsoft Quick Assist toegang tot het systeem te krijgen. Deze software is bedoeld voor IT-support, maar daardoor juist kwetsbaar voor misbruik. In een nader onderzochte aanval leidde de initiële e-mailgolf tot directe netwerkactiviteit: apparaten voerden LDAP-verkenningen uit (het opvragen van directory services), gevolgd door interne poortscans en inlogpogingen via het SMB-protocol.
Signalen herkennen én combineren
Wat deze aanvallen extra verraderlijk maakt, is dat losse activiteiten vaak niet verdacht lijken. Pas wanneer verschillende signalen worden gecombineerd, ontstaat een compleet beeld van de dreiging. In het onderzochte geval bleek sprake van een gecoördineerde campagne met als doel toegang tot gevoelige netwerkonderdelen en laterale beweging binnen het netwerk.
Social engineering speelt hierbij een centrale rol. Medewerkers kunnen, vaak onbewust, inloggegevens delen of schadelijke software installeren. Bewustwording is dus cruciaal. Training in vishing, phishing en andere vormen van misleiding vergroot de weerbaarheid van medewerkers aanzienlijk.
Alleen bewustwording is echter niet genoeg, ook technische maatregelen blijven essentieel. Denk aan netwerksegmentatie om schade bij een besmetting te beperken, en aan het verbeteren van verificatieprocessen voor IT-support. Wie contact opneemt, moet eenduidig als legitiem kunnen worden geïdentificeerd, niet alleen voor het vertrouwen van medewerkers, maar ook om misleiding te voorkomen.
Beperkingen van traditionele beveiliging
De detectie van e-mailbombing is voor veel organisaties een uitdaging. Klassieke e-mailfilters kijken naar afzonderlijke berichten – op basis van handtekeningen, reputatie of heuristiek. Maar bij e-mailbombing zit de dreiging niet in één bericht, maar in het volume en de context. Een stroom van nieuwsbriefinschrijvingen is moeilijk te classificeren als een dreiging, vooral omdat er geen sprake is van duidelijke malware.
Bovendien ontbreekt bij veel systemen de koppeling tussen e-mailverkeer en netwerk- of identiteitsgedrag. Zo worden plotselinge remote access-pogingen, ongebruikelijke LDAP-query’s of logins via afwijkende protocollen vaak als losse incidenten bekeken. In systemen waar gebruikers handmatige goedkeuring nodig hebben om in te grijpen, gaat bovendien kostbare tijd verloren.
Naar een gelaagde, contextuele beveiliging
Effectieve verdediging vraagt om een holistische aanpak. Een gelaagde beveiligingsarchitectuur gebaseerd op gedragsanalyse en context is cruciaal. Systemen die afwijkend gebruikersgedrag of veranderingen in communicatiepatronen signaleren, kunnen e-mailbombing in een vroeg stadium herkennen, nog voordat er schade ontstaat.
Uit het State of AI Cybersecurity-rapport blijkt dat 88% van de beveiligingsprofessionals AI ziet als essentieel om proactief op dreigingen te reageren. AI-systemen die context begrijpen en verbanden leggen, zijn onmisbaar bij het detecteren van deze complexe dreigingen. Dat dat nodig is, blijkt wel uit de resultaten van een ander recent onderzoek van Darktrace: 55% van alle phishing e-mails passeert bestaande beveiligingslagen.
Een strategische aanpak is een vereiste
E-mailbombing is allang niet meer slechts hinderlijk, het gaat hier om gerichte aanvallen met potentieel grote impact. Een combinatie van AI-gestuurde detectie, goed beleid en getrainde medewerkers biedt de beste verdediging. Cybercriminelen verfijnen hun methoden voortdurend. Bedrijven die vasthouden aan traditionele bescherming lopen achter de feiten aan.
Alleen door e-mail-, netwerk- en identiteitsdata gezamenlijk te analyseren, ontstaat het volledige beeld van potentiële dreigingen. Zeker nu aanvallen niet meer beginnen met malware, maar met een stroom onschuldige berichten, is dat inzicht belangrijker dan ooit.
Auteur: Max Heinemeyer (foto), Global Field CISO bij Darktrace
Meer over Darktrace
Over Wouter Hoeffnagel
