Barracuda: AI maakt phishingaanvallen angstaanjagend snel

De publicatie van het onderzoek valt samen met de introductie van Barracuda’s nieuwe, eveneens door AI aangedreven Integrated Email Protection. Deze oplossing is specifiek ontworpen om de nieuwste generatie hyperrealistische digitale dreigingen het hoofd te bieden.

"Aanvallers maken op grote schaal gebruik van commercieel beschikbare AI-tools en geavanceerde ontwijkingstechnieken", verklaart Merium Khalid, Director AI and Automation bij Barracuda. "De snelheid waarmee het simulatieteam erin slaagde om permanente toegang te forceren, onderstreept de dringende behoefte aan realtime, geautomatiseerde e-mailbeveiliging. Systemen moeten dreigingen kunnen detecteren die zich al buiten de inbox afspelen."

Anatomie van een flitsaanval

Tijdens de gecontroleerde simulatie brachten de onderzoekers nauwgezet in kaart hoe de aanval zich in een moordend tempo voltrok:

De verleiding: Met behulp van generatieve AI stelden de onderzoekers een uiterst overtuigende phishing-e-mail op met een dringend verzoek om een document te bekijken. De mail passeerde de filters en werd 21 minuten later door het slachtoffer geopend.

De valstrik: De medewerker klikte op de link en belandde op een nagemaakte, identieke Microsoft-inlogpagina. Binnen 60 seconden werden de inloggegevens ingevoerd. De aanvallers leidden dit proces om en vingen de gegevens direct af.

MFA omzeild: Toen Microsoft om een tweestapsverificatie (MFA) vroeg, keurde het slachtoffer dit goed. De aanvallers onderschepten direct de resulterende authenticatiecookie. Binnen twee minuten na de eerste klik bezaten de criminelen de gebruikersnaam, het wachtwoord én de actieve sessiegegevens.

Permanente toegang (Persistentie): Met de gestolen cookie drongen de aanvallers de mailbox binnen. Via de zogeheten 'ClickFix'-methode werd het slachtoffer misleid om een schadelijk script uit te voeren. Binnen vijf minuten na de allereerste klik was de inbreuk een feit en hadden de aanvallers een permanente achterdeur gecreëerd. Vanaf dat moment kunnen zij naar wens data stelen, gijzelsoftware installeren of accounts misbruiken.

Hoe kunnen bedrijven zich wapenen?

Volgens Barracuda is één losse beveiligingsmaatregel allang niet meer genoeg om deze gelaagde AI-aanvallen te stoppen. Bedrijven moeten overschakelen op een gelaagde defensiestrategie.

Cruciale maatregelen zijn onder andere het invoeren van phishing-bestendige MFA (zoals fysieke security keys), geavanceerde e-mailbeveiliging met realtime AI-detectie en het strikt handhaven van e-mailauthenticatie via DMARC. Daarnaast blijft het trainen van medewerkers op de nieuwste social-engineeringtactieken essentieel. Securityteams moeten bovendien extra alert zijn op afwijkend gedrag na het inloggen, zoals ongebruikelijke inloglocaties of plotseling aangemaakte regels in een inbox waarmee mailverkeer ongemerkt wordt doorgestuurd.