Om zakelijke e-mailgegevens van werknemers van een bedrijf te stelen, moeten aanvallers eerst langs de antiphishing-oplossingen op de e-mailservers van het bedrijf zien te komen. Vaak gebruiken ze legitieme webdiensten om niet op te vallen, en steeds vaker gaat het dan om Google Apps Script, een op JavaScript gebaseerd scriptingplatform.
De 'App script aanval'
Apps Script is een op JavaScript gebaseerd platform voor het automatiseren van taken binnen producten van Google (bijv. het maken van add-ons voor Google Docs) en in toepassingen van derden. Het is in feite een service voor het creëren van scripts en om deze vervolgens in de Google-infrastructuur uit te voeren.
In e-mailphishing gebruiken aanvallers deze dienst voor redirects. In plaats van de URL van een schadelijke website rechtstreeks in een bericht te plaatsen, kunnen cybercriminelen een link naar een script plaatsen. Op die manier omzeilen ze de anti-phishing-oplossingen van de mailserver, want een hyperlink naar een legitieme Google-site met een goede reputatie komt eenvoudig door de meeste filters heen. Een bijkomend voordeel voor cybercriminelen is dat onopgemerkte phishing-sites langer in de lucht kunnen blijven. Deze truc biedt aanvallers ook de flexibiliteit om het script zo nodig te wijzigen (voor het geval beveiligingsoplossingen aanslaan), en om te experimenteren met de levering van inhoud (bijvoorbeeld door slachtoffers naar verschillende versies van de site te sturen, afhankelijk van hun regio).
Het enige dat de aanvallers hoeven te doen, is ervoor zorgen dat gebruikers op een link klikken. Onlangs was het meest voorkomende voorwendsel een “volle mailbox”. Dat klinkt in theorie best plausibel.
Een typische phishing-mail met de “volle mailbox”-truc
De Microsoft Outlook 'App script aanval'
In de praktijk zijn aanvallers soms onzorgvuldig en laten ze tekenen van fraude achter die zelfs voor gebruikers die niet zo vertrouwd zijn met echte meldingen duidelijk zouden moeten zijn:
- De e-mail lijkt van Microsoft Outlook te komen, maar het e-mailadres van de afzender heeft een buitenlands domein. Een echte melding over een volle mailbox zou van de interne Exchange-server afkomstig moeten zijn. (Bonusteken: in de naam van de afzender, Microsoft Outlook, ontbreekt er een spatie en er is een nul gebruikt in plaats van de letter O.)
- De link die verschijnt als u met de cursor over “Fix this in storage settings” beweegt, leidt u naar een Google Apps Script-site:
E-maillink naar Google Apps Script
- De limieten van mailboxen worden niet plotseling overschreden. Outlook waarschuwt gebruikers al lang van tevoren dat hun opslagruimte op begint te raken. Als die limiet plotseling met 850 MB is overschreden, zou dat waarschijnlijk betekenen dat u in één keer zoveel spam ontvangt, wat hoogst onwaarschijnlijk is.
Hoe dan ook, hier volgt een voorbeeld van een legitieme melding van Outlook:
Legitieme melding over een mailbox die bijna vol zit
- De link met “Fix this in storage settings” verwijst naar een phishing-site. Hoewel het in dit geval een vrij overtuigende kopie is van de inlogpagina van de web-interface van Outlook, blijkt uit een blik op de adresbalk van de browser dat de pagina wordt gehost op een vervalste website en niet binnen de infrastructuur van het bedrijf.
Hoe voorkomen
Uit ervaring blijkt dat phishing-mails niet noodzakelijkerwijs phishing-links hoeven te bevatten. Daarom moet betrouwbare zakelijke bescherming anti-phishing-functies bevatten, zowel op het niveau van de mailserver als op de computers van gebruikers.
Daarnaast moet verantwoordelijke bescherming ook regelmatige bewustzijnstraining voor werknemers omvatten, waar wordt ingegaan op huidige cyberdreigingen en phishing-trucs.
Mail in omloop van ‘ING’ waarin gevraagd wordt om een nieuwe ‘Mijn ING’ te bevestigen
Er circuleert een mail van ‘ING’ waarin gevraagd wordt om een nieuwe ‘Mijn ING’ te bevestigen. In de mail staat ook dat je betaalpas geblokkeerd wordt wanneer je dit niet doet. Deze mail is niet van ING zelf, dus trap hier niet in! Nieuw Mijn ING
Valse mails Bol.com en Mediamarkt massaal in omloop, pas dus op!
Er zijn verschillende mails in omloop zoals een win actie van Media markt de zogenaamde "happybox witactie" of in de mail van Bol.com kun je een "cadeaukaart winnen t.w.v. €500,-" er zijn ook nog mails in omloop van bol.com waarbij de webwinkel betreurt dat je zogenaamd een slechte ervaring hebt gehad. Als verontschuldiging kan je een geschenk claimen door op de link in het bericht te klikken. Doe dit niet! Deze actie is niet van bol.com en voor je het weet zit je vast aan een duur abonnement.
'Microsoft' vraagt je identiteit te controleren omdat je account niet is bijgewerkt
"Dit is om u te informeren dat we zullen stoppen met het verwerken van uw e-mail vanuit onze database omdat uw account niet is bijgewerkt op onze gegevens. Om deze berichten te ontvangen, klikt u op de onderstaande link om uw identiteit te verifiëren"
Cybercriminelen zetten valse websites in om zorg gegevens te achterhalen
Cybercriminelen maken misbruik van de heroriëntatie van veel Nederlanders op hun zorgverzekering, zo blijkt uit een analyse van SIDN (Stichting Internet Domeinregistratie Nederland). In deze analyse werden meer dan 450 phishing sites geïdentificeerd met een domeinnaam die misbruik maakt van de naam van een zorgverzekeraar. Traditioneel oriënteren veel Nederlanders zich op een nieuwe zorgverzekering nadat het kabinet tijdens Prinsjesdag haar plannen met betrekking tot zorgverzekeringen bekendmaakt.
Diverse phishing mails in omloop van International Card Services (Visa en MasterCard)
Pas op! Uit naam van International Card Services (ICS) waarin de ontvanger wordt opgeroepen een 'actualisatie formulier' in te vullen. Hoewel de naam van de ontvanger boven het bericht staat, is ook dit een phishing mail.
ING zegt ‘NU’ vaarwel tegen TAN code Bericht is Phishing!
Er is een e-mail uit naam van ING in omloop waarin staat dat de oranje bank afscheid gaat nemen van TAN-codes. Ondanks het echte nieuws in het bericht, is de e-mail nep.