E-mailoplichting waarbij herbevestiging van domeinbezit vereist is

Onverwachte e-mails die dringend actie vereisen, moeten altijd met de nodige voorzichtigheid worden behandeld. Cybercriminelen doen zich vaak voor als betrouwbare organisaties en regelgevende instanties om een vals gevoel van urgentie te creëren en ontvangers onder druk te zetten tot overhaaste beslissingen. De e-mails met de melding 'Hervalidatie domeinregistratie vereist' zijn een treffend voorbeeld van deze tactiek. Beveiligingsonderzoekers hebben deze berichten geïdentificeerd als onderdeel van een phishingcampagne die is ontworpen om inloggegevens van e-mailaccounts te stelen. Belangrijk is dat deze e-mails niet zijn gekoppeld aan een legitiem bedrijf, organisatie, domeinregistrar of regelgevende instantie.

Vermomd als een officiële kennisgeving van naleving

De frauduleuze e-mails zijn zo opgesteld dat ze lijken op officiële meldingen over domeinregistratie. Ontvangers worden geïnformeerd dat hun domeinregistratie de afgelopen 90 dagen niet opnieuw is gevalideerd en dat actie vereist is om te voldoen aan de vermeende regelgeving. De berichten verwijzen naar 'ICANN-verordening 3.18' en waarschuwen dat het niet voltooien van het verificatieproces zal leiden tot de opschorting van zowel inkomende als uitgaande e-maildiensten binnen zeven dagen.

De gebruikte taal in de e-mail is bedoeld om bezorgdheid en urgentie te wekken. Door te dreigen met verstoringen van de dienstverlening proberen de oplichters de ontvangers ervan te overtuigen onmiddellijk actie te ondernemen zonder de authenticiteit van het bericht te controleren.

Het nep-hervalidatieproces

De kern van de oplichting is een knop die meestal de tekst 'Domein nu opnieuw valideren' draagt. Door op deze knop te klikken, worden gebruikers doorgestuurd naar een frauduleuze webmail-inlogpagina die zich voordoet als een legitiem e-mailportaal.

De phishingpagina imiteert een inlogscherm van Roundcube Webmail en wordt gehost via Google's Firebase Storage-platform. Om de pagina overtuigender te laten lijken, is het e-mailadres van het slachtoffer mogelijk al automatisch ingevuld. Gebruikers worden vervolgens gevraagd hun wachtwoord in te voeren om verder te gaan met het zogenaamde verificatieproces.

In werkelijkheid dient de pagina slechts één doel: inloggegevens verzamelen en deze direct doorsturen naar de aanvallers.

Wat gebeurt er als inloggegevens worden gestolen?

Gehackte e-mailaccounts kunnen cybercriminelen toegang geven tot een aanzienlijke hoeveelheid persoonlijke en zakelijke informatie. Omdat e-mailaccounts vaak gekoppeld zijn aan tal van online diensten, kunnen aanvallers gestolen inloggegevens gebruiken om hun toegang nog verder uit te breiden.

Zodra criminelen de controle over een e-mailaccount hebben verkregen, kunnen ze het volgende doen:

• Lees vertrouwelijke berichten en gevoelige communicatie.
• Wachtwoorden voor gekoppelde online accounts opnieuw instellen.
• Doe je in communicatie met collega's, klanten, vrienden of familieleden voor als het slachtoffer.

• Verstuur extra phishing-e-mails vanaf een vertrouwd account.

• Persoonlijke gegevens verzamelen voor identiteitsdiefstal of financiële fraude.

Omdat e-mailaccounts vaak de primaire herstelmethode zijn voor andere diensten, kan één gehackte mailbox leiden tot overnames van meerdere accounts.

Waarom de beweringen onjuist zijn

Verschillende indicatoren tonen aan dat deze e-mails frauduleus zijn. De berichten proberen misbruik te maken van de autoriteit van de Internet Corporation for Assigned Names and Numbers, beter bekend als ICANN, door valselijk te suggereren dat domeinhervalidatie wordt afgedwongen via directe e-mailmeldingen.

In werkelijkheid neemt ICANN geen contact op met individuele gebruikers via ongevraagde berichten waarin om hervalidatie van domeinen wordt gevraagd. Bovendien vereist geen enkele legitieme domeinautoriteit of gerenommeerde serviceprovider dat gebruikers hun inloggegevens verifiëren via een link in een onverwachte e-mail.

De afzendernaam die vaak in deze berichten wordt weergegeven, 'Global Domain Validation Center', heeft geen aantoonbare connectie met ICANN, geaccrediteerde registrars of een legitieme domeinbeheerorganisatie. Het hele scenario is verzonnen om geloofwaardigheid te creëren en ontvangers te misleiden.

De bredere dreiging die verder gaat dan diefstal van inloggegevens

Hoewel het primaire doel van deze campagne het verzamelen van inloggegevens is, worden soortgelijke frauduleuze e-mails ook vaak gebruikt voor de verspreiding van malware. Cybercriminelen maken vaak gebruik van e-mailaanvallen om schadelijke software bij potentiële slachtoffers te bezorgen.

E-mails met malware kunnen geïnfecteerde bijlagen of links naar schadelijke websites bevatten. Veelvoorkomende bestandstypen die bij deze aanvallen worden gebruikt, zijn uitvoerbare bestanden, PDF-documenten, archieven zoals ZIP- of RAR-bestanden, scripts en Office-documenten met schadelijke code. In sommige gevallen worden gebruikers gevraagd om macro's of andere functies in te schakelen die het infectieproces in gang zetten.

De meeste malware-infecties via e-mail vereisen een zekere mate van interactie met de gebruiker, zoals het openen van een bijlage, het starten van een gedownload bestand, het klikken op een schadelijke link of het inschakelen van ingesloten inhoud. Daarom blijven voorzichtigheid en verificatie cruciaal bij het omgaan met onverwachte berichten.

Hoe moet je op deze e-mails reageren?

Ontvangers van een e-mail met de melding 'Hervalidatie domeineigendom vereist' dienen op geen enkele manier met het bericht te interageren. Klik niet op links, open geen bijlagen en geef nooit persoonlijke informatie door via pagina's die via ongevraagde e-mails worden bereikt.

De veiligste optie is om de e-mail direct te verwijderen. Personen die hun inloggegevens al op de phishingpagina hebben ingevoerd, moeten hun e-mailwachtwoord onmiddellijk wijzigen, de wachtwoorden van alle accounts die mogelijk dezelfde inloggegevens gebruiken bijwerken en waar mogelijk multifactorauthenticatie inschakelen.

Slotgedachten

De e-mailcampagne 'Domain Ownership Revalidation Required' is een phishing-oplichting die zich voordoet als een nalevingsbericht van ICANN. Het doel is om ontvangers ertoe te verleiden hun e-mailaccountgegevens prijs te geven via een frauduleuze inlogpagina voor webmail. De berichten spelen in op angst, urgentie en valse beweringen over regelgeving om slachtoffers te manipuleren en hen ertoe aan te zetten actie te ondernemen zonder de juiste verificatie.

Inzicht in hoe deze oplichtingspraktijken werken is essentieel voor de bescherming van gevoelige informatie. Door sceptisch te blijven over onverwachte verzoeken, beweringen via officiële kanalen te verifiëren en links in ongevraagde e-mails te vermijden, kunnen gebruikers hun risico op diefstal van inloggegevens en andere cyberdreigingen aanzienlijk verkleinen.