Om zakelijke e-mailgegevens van werknemers van een bedrijf te stelen, moeten aanvallers eerst langs de antiphishing-oplossingen op de e-mailservers van het bedrijf zien te komen. Vaak gebruiken ze legitieme webdiensten om niet op te vallen, en steeds vaker gaat het dan om Google Apps Script, een op JavaScript gebaseerd scriptingplatform.
De 'App script aanval'
Apps Script is een op JavaScript gebaseerd platform voor het automatiseren van taken binnen producten van Google (bijv. het maken van add-ons voor Google Docs) en in toepassingen van derden. Het is in feite een service voor het creëren van scripts en om deze vervolgens in de Google-infrastructuur uit te voeren.
In e-mailphishing gebruiken aanvallers deze dienst voor redirects. In plaats van de URL van een schadelijke website rechtstreeks in een bericht te plaatsen, kunnen cybercriminelen een link naar een script plaatsen. Op die manier omzeilen ze de anti-phishing-oplossingen van de mailserver, want een hyperlink naar een legitieme Google-site met een goede reputatie komt eenvoudig door de meeste filters heen. Een bijkomend voordeel voor cybercriminelen is dat onopgemerkte phishing-sites langer in de lucht kunnen blijven. Deze truc biedt aanvallers ook de flexibiliteit om het script zo nodig te wijzigen (voor het geval beveiligingsoplossingen aanslaan), en om te experimenteren met de levering van inhoud (bijvoorbeeld door slachtoffers naar verschillende versies van de site te sturen, afhankelijk van hun regio).
Het enige dat de aanvallers hoeven te doen, is ervoor zorgen dat gebruikers op een link klikken. Onlangs was het meest voorkomende voorwendsel een “volle mailbox”. Dat klinkt in theorie best plausibel.
Een typische phishing-mail met de “volle mailbox”-truc
De Microsoft Outlook 'App script aanval'
In de praktijk zijn aanvallers soms onzorgvuldig en laten ze tekenen van fraude achter die zelfs voor gebruikers die niet zo vertrouwd zijn met echte meldingen duidelijk zouden moeten zijn:
- De e-mail lijkt van Microsoft Outlook te komen, maar het e-mailadres van de afzender heeft een buitenlands domein. Een echte melding over een volle mailbox zou van de interne Exchange-server afkomstig moeten zijn. (Bonusteken: in de naam van de afzender, Microsoft Outlook, ontbreekt er een spatie en er is een nul gebruikt in plaats van de letter O.)
- De link die verschijnt als u met de cursor over “Fix this in storage settings” beweegt, leidt u naar een Google Apps Script-site:
E-maillink naar Google Apps Script
- De limieten van mailboxen worden niet plotseling overschreden. Outlook waarschuwt gebruikers al lang van tevoren dat hun opslagruimte op begint te raken. Als die limiet plotseling met 850 MB is overschreden, zou dat waarschijnlijk betekenen dat u in één keer zoveel spam ontvangt, wat hoogst onwaarschijnlijk is.
Hoe dan ook, hier volgt een voorbeeld van een legitieme melding van Outlook:
Legitieme melding over een mailbox die bijna vol zit
- De link met “Fix this in storage settings” verwijst naar een phishing-site. Hoewel het in dit geval een vrij overtuigende kopie is van de inlogpagina van de web-interface van Outlook, blijkt uit een blik op de adresbalk van de browser dat de pagina wordt gehost op een vervalste website en niet binnen de infrastructuur van het bedrijf.
Hoe voorkomen
Uit ervaring blijkt dat phishing-mails niet noodzakelijkerwijs phishing-links hoeven te bevatten. Daarom moet betrouwbare zakelijke bescherming anti-phishing-functies bevatten, zowel op het niveau van de mailserver als op de computers van gebruikers.
Daarnaast moet verantwoordelijke bescherming ook regelmatige bewustzijnstraining voor werknemers omvatten, waar wordt ingegaan op huidige cyberdreigingen en phishing-trucs.
Fraude met online betalingen stijgt met 208% tijdens Black Friday
In aanloop naar de Black Friday-periode werd een duidelijke toename van phishingaanvallen die online betaalpagina’s nabootsen opgemerkt. Dit aantal is meer dan verdubbeld met 208%. Deze en andere bevindingen staan in Kaspersky's rapport'Black Friday 2021: How to Have a Scam-Free Shopping Day'.
Netflix, Disney en Amazon Prime zijn makkelijk te gebruiken voor phishing-scams
Scammers doen zich sinds kort voor als Netflix en andere streamingdiensten. Dat meldt cybersecuritybedrijf Kaspersky in zijn rapport woensdag.
“De daders van phishing zijn vaak jong, hanteren steeds slimmere methoden en spelen in op de actualiteit”
De schade als gevolg van phishing en bankhelpdesk fraude neemt toe, meldde De Nederlandse Vereniging van Banken (NVB) gisteren. De daders van phishing zijn vaak jong, hanteren steeds slimmere methoden en spelen in op de actualiteit. Zo hoorde op 12 november een 22-jarige verdachte van phishing voor de Amsterdamse rechtbank een straf van drie jaar cel tegen zich eisen. Hij lichtte zijn slachtoffers op door zich voor te doen als een medewerker van WoningNet.
Aantal dreigingen via mobiele phishing met 161 procent toegenomen in 2021
Securitybedrijf Lookout heeft een nieuw rapport gepubliceerd waaruit blijkt dat gebruikers in de energiesector tussen de tweede helft van 2020 en de eerste helft van 2021 161 procent meer pogingen tot mobiele phishing zagen.
17 jarige phisher aangehouden die woningzoekende in de val lokte
Op 12 oktober 2021 heeft de politie een 17-jarige jongen uit Amsterdam aangehouden op verdenking van phishing. De verdachte deed zich onder andere voor als WoningNet en heeft zo in de afgelopen maanden vermoedelijk tientallen slachtoffers in heel Nederland opgelicht voor tot dusver bekend minimaal 20.000 euro. De aanhouding kwam mede door een nauwe samenwerking met verschillende banken tot stand.
“Phishing bestaat al meer dan 25 jaar en blijft een effectieve aanvalstechniek”
Sophos presenteert zijn nieuwste onderzoek, Phishing Insights 2021, die de ervaringen met en het begrip van phishing bij bedrijven wereldwijd belicht.