Oplichting via e-mail met gewijzigde accountgegevens van American Airlines

Onverwachte e-mails die beweren dat er dringend iets met uw account moet gebeuren, moeten altijd met de nodige voorzichtigheid worden behandeld. Cybercriminelen doen zich regelmatig voor als vertrouwde merken om ontvangers te manipuleren en gevoelige informatie te ontfutselen. De e-mailcampagne 'American Airlines Account Information Has Changed' is een voorbeeld van zo'n phishing-scam, bedoeld om inloggegevens te stelen en slachtoffers mogelijk bloot te stellen aan andere cyberdreigingen. Deze berichten hebben, ondanks hun overtuigende uiterlijk, niets te maken met American Airlines of een andere legitieme organisatie.

Een frauduleuze beveiligingswaarschuwing vermomd als een melding van een luchtvaartmaatschappij.

De frauduleuze e-mails beginnen vaak met de alarmerende onderwerpregel: 'ACTIE VEREIST: Verdachte activiteiten gedetecteerd op uw account'. Het bericht informeert ontvangers ten onrechte dat er wijzigingen zijn aangebracht in hun American Airlines-accountgegevens. Om de angst en urgentie te vergroten, beweert de e-mail dat de details van de wijziging om veiligheidsredenen niet openbaar gemaakt kunnen worden.

Ontvangers worden vervolgens aangemoedigd om hun account onmiddellijk te controleren of contact op te nemen met een zogenaamd 'American Airlines Service Center' als ze de wijzigingen niet hebben geautoriseerd. Deze tactiek is specifiek ontworpen om gebruikers onder druk te zetten snel te handelen zonder het bericht zorgvuldig te lezen.

De valstrik van de nep-inlogpagina

Door op de links in de e-mail te klikken, worden slachtoffers doorgestuurd naar een frauduleuze website op het domein 'nolix.cyou'. De pagina is zorgvuldig ontworpen om het legitieme American Airlines AAdvantage®-inlogportaal na te bootsen. Het toont de huisstijl van de luchtvaartmaatschappij, een bekende opmaak en inlogvelden waar om een AAdvantage-nummer of gebruikersnaam en een wachtwoord wordt gevraagd.

Alle inloggegevens die op deze nep-inlogpagina worden ingevoerd, worden direct doorgestuurd naar de oplichters die de phishingcampagne uitvoeren. Zodra criminelen toegang hebben tot een AAdvantage-account, kunnen ze:

• Verzamelde luchtvaartmijlen inwisselen
• Boek vluchten via het account van het slachtoffer.
• Verkoop gehackte accounts op illegale online marktplaatsen.
• Probeer credential-stuffing-aanvallen uit te voeren op andere online diensten.

Omdat veel gebruikers wachtwoorden hergebruiken op meerdere platforms, kunnen gestolen inloggegevens risico's opleveren die veel verder reiken dan een enkel luchtvaartaccount.

Duidelijke tekenen dat de e-mail nep is

Hoewel de e-mails in eerste instantie overtuigend lijken, onthult een nadere inspectie verschillende inconsistenties die de fraude aan het licht brengen. Een belangrijk alarmsignaal is de verwijzing naar 'MileagePlus®' in de voettekst van de e-mail. MileagePlus® is het loyaliteitsprogramma van United Airlines, en niet van American Airlines.

Deze tegenstrijdigheid toont aan dat de aanvallers ofwel content hebben gekopieerd van niet-gerelateerde phishing-sjablonen, ofwel de oplichting onzorgvuldig in elkaar hebben gezet. Legitieme bedrijven maken zelden merkfouten waarbij concurrerende organisaties betrokken zijn.

Bijkomende waarschuwingssignalen zijn onder meer:

• Dringende taal die onmiddellijke actie vereist.
• Verdachte links die naar onbekende domeinen leiden.
• Verzoeken om inlogverificatie via ingebedde links
• Algemene beveiligingswaarschuwingen zonder persoonlijke details.
• Inconsistenties in branding of opmaak

Gebruikers dienen verdachte accountwaarschuwingen altijd te controleren door rechtstreeks via een browser de officiële websites te bezoeken in plaats van op links in e-mails te klikken.

Het malwarerisico van spamcampagnes

Phishing-aanvallen beperken zich niet altijd tot het stelen van inloggegevens. Veel kwaadaardige e-mailcampagnes worden ook gebruikt om malware te verspreiden. Cybercriminelen voegen vaak schadelijke bestanden toe, vermomd als facturen, rapporten of boekhoudkundige documenten. Deze bijlagen kunnen uitvoerbare bestanden, pdf's, Office-documenten, ZIP-archieven of scripts bevatten.

Het openen van dergelijke bestanden kan de installatie van malware in gang zetten, vooral wanneer gebruikers macro's of andere ingesloten inhoud inschakelen. In sommige gevallen kan het klikken op een schadelijke link ongemerkt leiden tot het downloaden van schadelijke software of het doorverwijzen van slachtoffers naar misleidende pagina's die handmatige downloads aanmoedigen.

Zelfs wanneer de installatie van malware enige interactie van de gebruiker vereist, maken aanvallers veelvuldig gebruik van paniek en urgentie om scepsis te verminderen en de kans op infectie te vergroten.

Hoe blijf je beschermd?

Iedereen die de e-mail 'American Airlines Account Information Has Changed' ontvangt, moet deze onmiddellijk verwijderen zonder op links te klikken of bijlagen te downloaden. Gebruikers die al inloggegevens hebben ingevoerd op de nepwebsite, moeten hun wachtwoorden onmiddellijk wijzigen, vooral als hetzelfde wachtwoord ook elders wordt gebruikt.

Het is ook raadzaam om waar mogelijk multifactorauthenticatie in te schakelen en loyaliteitsaccounts van luchtvaartmaatschappijen te controleren op ongeautoriseerde activiteiten. Voorzichtig blijven met onverwachte e-mails blijft een van de meest effectieve verdedigingsmechanismen tegen phishingaanvallen en online fraude.

Samengevat is deze campagne een phishing-oplichting waarbij inloggegevens worden gestolen, vermomd als een beveiligingsmelding van American Airlines. Het voornaamste doel is om ontvangers naar een nep-inlogpagina te lokken en gevoelige accountgegevens te bemachtigen. Alertheid, het zorgvuldig controleren van verdachte berichten en het vermijden van impulsieve acties zijn essentieel voor online veiligheid.