Cybersecurityexperts van Google hebben gezien dat 'GhostWriter' phishingcampagnes heeft opgezet met als doel om inloggegevens te bemachtigen. De groep gebruikt sinds kort een phishingtechniek die ‘Browser in a Browser’ wordt genoemd. Bezoekers worden dan doorgestuurd naar een gecompromitteerde site die op een betrouwbaar domein lijkt te staan. Wie probeert in te loggen krijgt een nieuw tabblad te zien. Gegevens die op deze pagina worden ingevoerd, belanden in de handen van de hackers.
Hackersgroep GhostWriter
GhostWriter is een beruchte hackersgroep in West-Europa. De groep probeerde afgelopen jaar de parlementsverkiezingen in Duitsland te beïnvloeden door desinformatie via sociale media te verspreiden. Daarnaast voerden de aanvallers phishingcampagnes uit op politici, in een poging om hun accounts over te nemen.
Eerder deze maand waarschuwde cybersecuritybedrijf Infoblox dat oplichters en fraudeurs de Russische invasie in Oekraïne misbruikten om geld te stelen en malware te verspreiden.
NAVO doelwit van phishingcampagne
Sinds het uitbreken van de oorlog in Oekraïne is het aantal phishing- en malwarecampagnes flink toegenomen. De NAVO en krijgsmachten van verschillende Oost-Europese landen zijn daarvan het doelwit. Staatshackers uit China, Iran, Noord-Korea en Rusland zitten achter deze praktijken.
Financiële motieven
De aanvallers spelen in op de actualiteit. Ze misbruiken de oorlog in Oekraïne om nietsvermoedende slachtoffers te verleiden om nepmails met malafide links te openen. Als voorbeeld noemt TAG een man die zich voordeed als soldaat om geld in te zamelen om achtergebleven familieleden in Oekraïne te redden. In dit geval proberen oplichters een financieel slaatje te slaan uit de misère in Oekraïne. De gevolgen van een dergelijke spamcampagne zijn wellicht beperkt.
Niet alle oplichtingstrucs zijn zo onschuldig, waarschuwt Google. Verschillende hackersgroepen proberen actief om schade toe te brengen aan militaire organisaties en overheidsdiensten. De Chinese hackersgroep 'Curious Gorge' heeft campagnes uitgevoerd tegen de krijgsmacht in Oekraïne, Rusland, Kazachstan en Mongolië. Details over de aanvallen van deze groep geeft Google niet.
NAVO doelwit van Russische hackers
Een ander hackerscollectief dat actief is, is 'COLDRIVER'. Deze groep, die ook wel 'Calisto' wordt genoemd (pdf) , bestaat uit Russische hackers die phishingcampagnes hebben uitgezet om inloggegevens te bemachtigen. De leden richten zich voornamelijk op non-gouvernementele organisaties (NGO’s), denktanks en de krijgsmacht in de Balkan. Ook een Oekraïense defensieaannemer was het doelwit van de Russische hackers. De groep is al sinds 2015 actief.
Voor het eerst heeft COLDRIVER zijn zinnen gezet op het leger in meerdere Oost-Europese landen en het Centre of Excellence van de NAVO. De aanvallers gebruikten nieuw aangemaakte Gmail-accounts om hun doelwitten te benaderen. Omdat deze spamberichten naar e-mailaccounts zijn gestuurd die Google niet beheert, kan TAG niet inschatten hoe groot precies de schade is.
In een reactie tegenover persbureau Reuters laat de NAVO weten dat het “dagelijks doelwit is van kwaadaardige cyberactiviteiten”.
Bron: blog.google, vpngids.nl
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer phishing nieuws
Mail in omloop van ‘ING’ waarin gevraagd wordt om een nieuwe ‘Mijn ING’ te bevestigen
Er circuleert een mail van ‘ING’ waarin gevraagd wordt om een nieuwe ‘Mijn ING’ te bevestigen. In de mail staat ook dat je betaalpas geblokkeerd wordt wanneer je dit niet doet. Deze mail is niet van ING zelf, dus trap hier niet in! Nieuw Mijn ING
Valse mails Bol.com en Mediamarkt massaal in omloop, pas dus op!
Er zijn verschillende mails in omloop zoals een win actie van Media markt de zogenaamde "happybox witactie" of in de mail van Bol.com kun je een "cadeaukaart winnen t.w.v. €500,-" er zijn ook nog mails in omloop van bol.com waarbij de webwinkel betreurt dat je zogenaamd een slechte ervaring hebt gehad. Als verontschuldiging kan je een geschenk claimen door op de link in het bericht te klikken. Doe dit niet! Deze actie is niet van bol.com en voor je het weet zit je vast aan een duur abonnement.
'Microsoft' vraagt je identiteit te controleren omdat je account niet is bijgewerkt
"Dit is om u te informeren dat we zullen stoppen met het verwerken van uw e-mail vanuit onze database omdat uw account niet is bijgewerkt op onze gegevens. Om deze berichten te ontvangen, klikt u op de onderstaande link om uw identiteit te verifiëren"
Cybercriminelen zetten valse websites in om zorg gegevens te achterhalen
Cybercriminelen maken misbruik van de heroriëntatie van veel Nederlanders op hun zorgverzekering, zo blijkt uit een analyse van SIDN (Stichting Internet Domeinregistratie Nederland). In deze analyse werden meer dan 450 phishing sites geïdentificeerd met een domeinnaam die misbruik maakt van de naam van een zorgverzekeraar. Traditioneel oriënteren veel Nederlanders zich op een nieuwe zorgverzekering nadat het kabinet tijdens Prinsjesdag haar plannen met betrekking tot zorgverzekeringen bekendmaakt.
Diverse phishing mails in omloop van International Card Services (Visa en MasterCard)
Pas op! Uit naam van International Card Services (ICS) waarin de ontvanger wordt opgeroepen een 'actualisatie formulier' in te vullen. Hoewel de naam van de ontvanger boven het bericht staat, is ook dit een phishing mail.
ING zegt ‘NU’ vaarwel tegen TAN code Bericht is Phishing!
Er is een e-mail uit naam van ING in omloop waarin staat dat de oranje bank afscheid gaat nemen van TAN-codes. Ondanks het echte nieuws in het bericht, is de e-mail nep.
Phishing ‘SMS’ ABN-AMRO in omloop
Als je een sms van je bank ontvangt over een incasso-opdracht is het hoogst waarschijnlijk Phishing! Er zijn valse berichtjes uit naam van ABN AMRO in omloop.
Slachtoffers, door nep mails uit naam van Rabobank
Pas op, momenteel veel valse e-mails in omloop uit naam van de Rabobank. Criminelen zijn er op uit persoonlijke gegevens te ontfutselen. De e-mails lijken verzonden door de Rabobank, maar zijn dat niet. Ze zijn volgens de financiële instelling ook nauwelijks van echt te onderscheiden.
Al 200 burgers trapten in valse mail mijn overheid
Minstens tweehonderd burgers lijken slachtoffer te zijn van een valse e-mail die zogenaamd door MijnOverheid is verstuurd. In de mail werd gevraagd om met DigiD in te loggen op een nepsite. Volgens staatssecretaris Raymond Knops (BZ) zijn de getroffen account inmiddels geblokkeerd en alle slachtoffers persoonlijk benaderd. Knops benadrukt dat MijnOverheid nooit mails met een link stuurt.
Valse e-mails in omloop die afkomstig lijken van MijnOverheid
De nepmail meldt dat er een nieuw bericht klaarstaat in de Berichtenbox op MijnOverheid. De link in de mail zou verwijzen naar deze officiële overheidswebsite. De site achter de link is echter nep. Doel van de afzenders is om DigiD inloggegevens te bemachtigen.
Nieuwe phishingmethode op Marktplaats
Oplichters proberen via een nieuwe phishingtruc de bankgegevens te ontfutselen van verkopers op Marktplaats. Ze doen alsof ze een product van je willen kopen, vragen om je telefoon- en rekeningnummer en zeggen het verschuldigde geld snel over te maken.
Phishing messenger bericht verspreidt zich razendsnel
Er komen diverse meldingen binnen van mensen die getroffen zijn door een Messenger Phishingmail.