Om zakelijke e-mailgegevens van werknemers van een bedrijf te stelen, moeten aanvallers eerst langs de antiphishing-oplossingen op de e-mailservers van het bedrijf zien te komen. Vaak gebruiken ze legitieme webdiensten om niet op te vallen, en steeds vaker gaat het dan om Google Apps Script, een op JavaScript gebaseerd scriptingplatform.
De 'App script aanval'
Apps Script is een op JavaScript gebaseerd platform voor het automatiseren van taken binnen producten van Google (bijv. het maken van add-ons voor Google Docs) en in toepassingen van derden. Het is in feite een service voor het creëren van scripts en om deze vervolgens in de Google-infrastructuur uit te voeren.
In e-mailphishing gebruiken aanvallers deze dienst voor redirects. In plaats van de URL van een schadelijke website rechtstreeks in een bericht te plaatsen, kunnen cybercriminelen een link naar een script plaatsen. Op die manier omzeilen ze de anti-phishing-oplossingen van de mailserver, want een hyperlink naar een legitieme Google-site met een goede reputatie komt eenvoudig door de meeste filters heen. Een bijkomend voordeel voor cybercriminelen is dat onopgemerkte phishing-sites langer in de lucht kunnen blijven. Deze truc biedt aanvallers ook de flexibiliteit om het script zo nodig te wijzigen (voor het geval beveiligingsoplossingen aanslaan), en om te experimenteren met de levering van inhoud (bijvoorbeeld door slachtoffers naar verschillende versies van de site te sturen, afhankelijk van hun regio).
Het enige dat de aanvallers hoeven te doen, is ervoor zorgen dat gebruikers op een link klikken. Onlangs was het meest voorkomende voorwendsel een “volle mailbox”. Dat klinkt in theorie best plausibel.
Een typische phishing-mail met de “volle mailbox”-truc
De Microsoft Outlook 'App script aanval'
In de praktijk zijn aanvallers soms onzorgvuldig en laten ze tekenen van fraude achter die zelfs voor gebruikers die niet zo vertrouwd zijn met echte meldingen duidelijk zouden moeten zijn:
- De e-mail lijkt van Microsoft Outlook te komen, maar het e-mailadres van de afzender heeft een buitenlands domein. Een echte melding over een volle mailbox zou van de interne Exchange-server afkomstig moeten zijn. (Bonusteken: in de naam van de afzender, Microsoft Outlook, ontbreekt er een spatie en er is een nul gebruikt in plaats van de letter O.)
- De link die verschijnt als u met de cursor over “Fix this in storage settings” beweegt, leidt u naar een Google Apps Script-site:
E-maillink naar Google Apps Script
- De limieten van mailboxen worden niet plotseling overschreden. Outlook waarschuwt gebruikers al lang van tevoren dat hun opslagruimte op begint te raken. Als die limiet plotseling met 850 MB is overschreden, zou dat waarschijnlijk betekenen dat u in één keer zoveel spam ontvangt, wat hoogst onwaarschijnlijk is.
Hoe dan ook, hier volgt een voorbeeld van een legitieme melding van Outlook:
Legitieme melding over een mailbox die bijna vol zit
- De link met “Fix this in storage settings” verwijst naar een phishing-site. Hoewel het in dit geval een vrij overtuigende kopie is van de inlogpagina van de web-interface van Outlook, blijkt uit een blik op de adresbalk van de browser dat de pagina wordt gehost op een vervalste website en niet binnen de infrastructuur van het bedrijf.
Hoe voorkomen
Uit ervaring blijkt dat phishing-mails niet noodzakelijkerwijs phishing-links hoeven te bevatten. Daarom moet betrouwbare zakelijke bescherming anti-phishing-functies bevatten, zowel op het niveau van de mailserver als op de computers van gebruikers.
Daarnaast moet verantwoordelijke bescherming ook regelmatige bewustzijnstraining voor werknemers omvatten, waar wordt ingegaan op huidige cyberdreigingen en phishing-trucs.
Hackers gebruiken nieuwe phishingtechniek
Cybersecurityexperts van Google hebben gezien dat 'GhostWriter' phishingcampagnes heeft opgezet met als doel om inloggegevens te bemachtigen. De groep gebruikt sinds kort een phishingtechniek die ‘Browser in a Browser’ wordt genoemd. Bezoekers worden dan doorgestuurd naar een gecompromitteerde site die op een betrouwbaar domein lijkt te staan. Wie probeert in te loggen krijgt een nieuw tabblad te zien. Gegevens die op deze pagina worden ingevoerd, belanden in de handen van de hackers.
“Neem een test af en zorg er voor dat corona maatregelen op 25-02-2022 worden versoepeld”
GGD GHOR, de koepelorganisatie voor de 25 GGD-afdelingen die ons land telt, zegt dat cybercriminelen uit naam van de organisatie valse e-mails versturen. Nietsvermoedende slachtoffers worden gevraagd om zo snel mogelijk een testafspraak te maken. In werkelijkheid is het een poging om bankgegevens en andere persoonlijke gegevens buit te maken.
Waarom phishing nog steeds een succes formule is
De GGD waarschuwt: leraren en leraressen, trap niet in de phishingmail waarin je wordt uitgenodigd om je boostervaccin te plannen. Elke week verschijnen er online wel berichten over bedrijven die waarschuwen voor phishingmails in hun naam. Waarom? Omdat nog steeds mensen erin trappen.
Zouden de medewerkers van een huisartsenpraktijk op een phishing-link klikken?
Om dit te testen stuurden de studenten van de Hogeschool Saxion een phishing-mail naar 189 huisartsen organisaties in Twente. De mail werd 102 keer geopend, er werd 73 keer op een link geklikt en 29 mensen vulden hun naw-gegevens in. “Het liet ons zien dat er nog een wereld te winnen is.”
Celstraffen tot 5,5 jaar geëist tegen Cyber criminele organisatie
Tegen vijf verdachten die door middel van phishing in ieder geval dertig ouderen in 2019 en 2020 beroofden van grote geldbedragen, heeft het Openbaar Ministerie gisteren celstraffen van één tot 5,5 jaar geëist. In totaal maakten de mannen, die volgens het OM een criminele organisatie vormden, ruim zeven ton aan geld buit.
Het aantal mensen dat op een phishing-link klikt is het afgelopen jaar meer dan verdubbeld
Je zou zeggen dat met alle waarschuwingen over spam, phishing, mal- en ransomware bijna iedereen nu wel op zijn hoede is. Helaas stijgt het aantal slachtoffers van deze vormen van cybercrime nog altijd. En dan met name op mobiele devices. Dat blijkt ook uit het jaarlijkse Phishing Trends Rapport. Daarvoor zijn de afgelopen twaalf maanden gegevens geanalyseerd van 500.000 mobiele toestellen in 90 landen. Doordat we tegenwoordig meer internetten op mobiele toestellen, richten cybercriminelen hun aanvallen ook steeds vaker specifiek op mobiele gebruikers.