Anslut till Senaste Tekniska Nyheter, Bloggar, Recensioner

Ett FBI-e-postnätverk hackades för att skicka tusentals falska e-postmeddelanden

Det ser ut som att Federal Bureau of Investigation senaste fall är ganska nära hemmet: organisationens eget e-postnätverk äventyrades för några dagar sedan. Hackarna skickade tusentals e-postmeddelanden till systemadministratörer, alla kryptografiskt signerade av FBI och DHS.

Och i en meta twist var de falska mejlen i sig själva för ett (icke-existerande) cybersäkerhetshot. Just det, precis när vi alla trodde att vi var helt trötta på hur omfattande cyberthot verkade vara, nu kan vi inte ens lita på att FBI-e-postmeddelanden om ett brott inte också är brott själva!

Så här gick det till och vad vi kan lära oss av hela debaclet.

Hur FBI blev hackad

Den korta versionen av vad som verkar ha hänt här är att en hacker missbrukade en osäker kod som lämnades tillgänglig i en FBI-webbportal.

Portalen, kallad Law Enforcement Enterprise Portal eller LEEP, låter användare skapa ett nytt konto komplett med en e-postbekräftelse skickad från eims@ic.fbi.gov med ett engångslösenord som används för att verifiera att det nya kontots e-postadress är giltig. Det är alla typiska grejer. Men tydligen läckte det engångslösenordet också av portalen och kunde hittas i webbsidans egen HTML-kod. Så hackaren kunde verifiera sig själv och använde också ett enkelt skript för att skicka tusentals falska e-postmeddelanden.

“I grund och botten, när du begärde bekräftelsekoden [it] genererades på klientsidan och skickades sedan till dig via en POST-förfrågan”, sa hackaren, som går under namnet Pompompurin, i en intervju. “Denna inläggsbegäran inkluderar parametrarna för e-postämnet och innehållet.”

Här är ett exempel på en skärmdump av ett falskt e-postmeddelande:

Den har några pågående meningar och felstavningar “genom” vid ett tillfälle, men det är inte så att det inte är misstag som en FBI-agent inte kunde göra. Med tanke på att den korrekta kryptografiska signaturen bekräftar att detta verkligen skickades från en FBI-server, skulle vilken systemadministratör som helst tvingas ta en andra titt.

Hacktivism på jobbet?

Personen som förklarade hur bluffen fungerade, Pompompurin, tar också på sig ansvaret för det – och ganska övertygande, med tanke på att de gjorde det med ett e-postmeddelande skickat från en FBI-e-postadress.

I den säger de att de kunde ha gjort mycket värre, men istället ville de bara se till att sårbarheten åtgärdades (samtidigt som de antagligen fick lite “hackad FBI” inflytande i onlinekretsar i processen).

Det är ytterligare ett exempel på hur ett missat kryphål kan leda till överdimensionerade cybersäkerhetskonsekvenser. I det här fallet har FBI gott om ägg i ansiktet. Men i morgon kan ett annat litet företag hantera en liknande dataläcka, och det företaget kommer inte ens ha makten från den federala regeringen bakom sig.

Vi rekommenderar alltid verktyg för lösenordshantering, VPN och högkvalitativ fjärråtkomstprogramvara för företag som försöker vara säkra med en fjärranställd arbetsstyrka. Men du kanske vill överväga några träningssessioner för hur du kan mildra en attack som redan har visat sig vara framgångsrik – inte alla angripare där ute kommer att vara trevliga nog att bara skicka ett e-postmeddelande om en falsk cybersäkerhetsrisk varje gång de hittar en riktig.