Business Email Compromise en het belang van conditional access policies

Dit gebeurt op verschillende manieren:

• Een e-mailadres dat sterk lijkt op dat van een collega of leverancier
• Een aangepaste factuur met gewijzigde bankgegevens
• Een verzoek om salaris of betaalgegevens te wijzigen

Het gaat hierbij niet om een technische hack, maar om het misbruiken van vertrouwen en autoriteit, gecombineerd met tijdsdruk. In veel gevallen komt er wél techniek bij kijken, bijvoorbeeld wanneer een account wordt overgenomen via phishing.

Business Email Compromise is één van de grootste oorzaken van financiële schade en ontwrichting bij organisaties. Daarom heeft het NCSC hier een whitepaper met technische handelingsperspectief over gepubliceerd.

In deze blog gaan we dieper in op een van de technische maatregelen en het belang van deze maatregel: het instellen van conditional access policies.

Hoe komt een aanvaller binnen?

Bij BEC-aanvallen maken cybercriminelen vaak gebruik van een nagemaakte inlogpagina. Zodra een gebruiker gegevens achterlaat op deze nagemaakte inlogpagina, stuurt deze nagemaakte inlogpagina de gegevens door naar Microsoft. Als deze inloggegevens juist zijn, stuurt Microsoft een Session Cookie terug zodat ingelogd kan worden. Deze Session Cookie kan door de kwaadwillende gebruikt worden om toegang te krijgen tot de hele Microsoft 365-omgeving van het slachtoffer. Zonder aanvullende toegangsvoorwaarden kunnen cybercriminelen met alleen het wachtwoord toegang krijgen tot mailboxen en bestanden.

Conditional Access: de basis op orde

Om ongewenste toegang te voorkomen gebruik je conditional access policies. Conditional Access is een krachtig onderdeel van Microsoft Entra. Het bepaalt onder welke voorwaarden een gebruiker toegang krijgt.

Je kunt hiermee:

• Minimale eisen afdwingen voor inloggen
• Toegang beperken op basis van locatie, status van het apparaat of rol van de gebruiker
• Onveilige of ongewenste authenticatiemechanismen uitsluiten

Dat laatste is belangrijk: door bepaalde methoden te blokkeren, voorkom je specifieke aanvalstechnieken zoals device code phishing.

MFA is nodig, maar niet genoeg

De meest bekende conditional access policy is het afdwingen van multifactorauthenticatie (MFA). MFA is vaak de eerste stap. Wanneer een kwaadwillende alleen de inloggegevens heeft kan (MFA) voorkomen dat de kwaadwillende toegang krijgt tot de omgeving van het slachtoffer. Maar MFA alleen biedt geen volledige bescherming. Bij geavanceerde phishing-aanvallen (zoals man-in-the-middle) wordt de MFA-uitdaging simpelweg doorgestuurd naar de gebruiker. Die keurt de login goed, in de veronderstelling dat deze legitiem is.
De aanvaller krijgt vervolgens alsnog toegang.

Wat werkt wél?

Sterke beveiliging zit in het stapelen van maatregelen, zoals onveilige of ongewenste authenticatiemechanismen uit te sluiten in combinatie met het alleen toestaan van inlogpogingen vanaf beheerde en goedgekeurde apparaten (bijvoorbeeld via Microsoft Intune). Een aanvaller beschikt hier meestal niet over, waardoor toegang wordt geblokkeerd, zelfs met geldige inloggegevens.

Aanvullende effectieve policies:

• Verplicht phishing-resistente MFA (zoals passkeys of hardware keys)
• Blokkeer legacy authentication
• Sta alleen loginpogingen toe vanuit relevante landen/regio’s
• Gebruik risicogebaseerde Conditional Access policies
• Pas token protection toe in Microsoft Entra
• Blokkeer kwetsbare flows zoals device code authenticatie

Conclusie

BEC is een van de belangrijkste oorzaken van financiële schade bij organisaties. Bescherming vraagt om een combinatie van maatregelen. Conditional Access speelt hierin een sleutelrol, maar staat niet op zichzelf. Combineer technische maatregelen met duidelijke processen en bewustwording.

Auteur: Bram Nijenhuis, Incident handler bij Tesorion