Pas op! Phishingaanvallen worden slimmer met realtime e-mailvalidatie
Cybercriminelen leggen de lat hoger met een verontrustende nieuwe variant op diefstal van inloggegevens. Ze gebruiken realtime e-mailvalidatie om phishingaanvallen efficiënter en moeilijker te detecteren te maken. Onderzoekers van Cofense hebben deze evoluerende tactiek geïdentificeerd en "precision-validating phishing" genoemd – een methode die de doelwitlijst beperkt tot alleen e-mailadressen waarvan is bevestigd dat ze actief en waardevol zijn.
In tegenstelling tot traditionele phishingcampagnes die een breed net uitwerpen en hopen op een paar happen, is deze nieuwe aanpak nauwkeurig en doelbewust. In plaats van frauduleuze inlogpagina's naar willekeurige gebruikers te sturen, controleren aanvallers eerst of het e-mailadres dat op een phishingpagina is ingevoerd, voorkomt in hun database met vooraf geoogste doelwitten. Als dit klopt, krijgt het slachtoffer een vals inlogscherm te zien dat is ontworpen om inloggegevens te stelen. Zo niet, dan wordt het slachtoffer doorgestuurd naar een onschuldige website zoals Wikipedia, waardoor de phishingsite niet wordt gedetecteerd door geautomatiseerde beveiligingsscanners.
Deze realtime verificatie wordt mogelijk gemaakt door een API- of JavaScript-gebaseerde e-mailvalidatietool in de phishingkit te integreren. Het resultaat? Gestolen gegevens van hogere kwaliteit, minder verspilde moeite en een phishingcampagne die moeilijker te detecteren en te stoppen is voor cybersecuritytools.
Inhoudsopgave
Slachtoffers filteren voor maximale impact
Cofense waarschuwt dat deze techniek niet alleen de kans vergroot op diefstal van inloggegevens van echte, actieve accounts, maar ook het werk bemoeilijkt van geautomatiseerde sandboxes en crawlertools die zijn ontworpen om kwaadaardige websites te detecteren. Deze systemen slagen er vaak niet in de validatiecontrole te doorstaan, waardoor de phishingpagina langer actief blijft en niet als verdacht wordt gemarkeerd.
Deze mate van filtering geeft cybercriminelen een groot voordeel. Door zich te richten op geverifieerde doelwitten, verkleinen ze het risico op blootstelling en verhogen ze hun rendement op investering. Deze tactiek verlengt ook de levensduur van phishingcampagnes, waardoor het voor verdedigers moeilijker wordt om bij te blijven.
Phishingtruc voor het verwijderen van bestanden maakt gebruik van een tweeledige aanval
Om het gevaar nog groter te maken, combineren aanvallers deze geavanceerde tactieken met social engineering-strategieën. Een recent waargenomen campagne gebruikt herinneringen voor het verwijderen van bestanden als lokaas. Slachtoffers ontvangen een e-mail die lijkt te linken naar een PDF die gepland staat om verwijderd te worden van een legitiem bestandshostingplatform, files.fm. Door op de link te klikken, worden ze inderdaad doorgestuurd naar de echte hostingdienst, waar ze toegang krijgen tot wat eruitziet als een PDF-bestand.
Hier is het addertje onder het gras: gebruikers krijgen twee opties: een voorbeeld bekijken of downloaden. Een voorbeeld bekijken opent een nep-inlogpagina van Microsoft die bedoeld is om inloggegevens te verzamelen, terwijl downloaden de installatie activeert van een uitvoerbaar bestand dat zich voordoet als Microsoft OneDrive. Het programma is in werkelijkheid ScreenConnect, een legitieme tool voor extern bureaublad van ConnectWise, die vaak door kwaadwillenden wordt misbruikt voor ongeautoriseerde toegang.
Volgens Cofense is de aanval slim ontworpen om het gedrag van gebruikers te manipuleren. Slachtoffers worden gedwongen te kiezen tussen twee even gevaarlijke opties, die elk op een andere manier tot een inbreuk op hun systeem leiden. Deze tweeledige opzet zorgt ervoor dat de aanvaller zijn doel bereikt, of het nu gaat om diefstal van inloggegevens of de implementatie van malware.
Phishing gecombineerd met externe toegang en vishing-tactieken
In een andere alarmerende ontwikkeling hebben cybersecurityonderzoekers een meerfasige aanvalscampagne ontdekt die phishing combineert met telefonische oplichting (vishing), tools voor toegang op afstand en "living-off-the-land"-technieken. Deze geavanceerde operatie is in samenwerking met de groep cybercriminelen Storm-1811 (ook bekend als STAC5777).
De aanval begint met een Microsoft Teams-bericht met een schadelijke PowerShell-payload. Zodra de eerste toegang is verkregen, gebruiken aanvallers de Quick Assist-functie van Microsoft om het systeem op afstand te bedienen. Vervolgens installeren ze legitieme software zoals TeamViewer naast een sideloaded kwaadaardige DLL en implementeren ze ten slotte een JavaScript-gebaseerde command-and-control-backdoor met behulp van Node.js.
Deze incidenten onderstrepen de toenemende complexiteit en creativiteit van de hedendaagse phishingdreigingen. Met tactieken die technische verfijning en psychologische manipulatie combineren, slagen aanvallers erin traditionele verdedigingsmechanismen te omzeilen en zelfs voorzichtige gebruikers te misleiden.
De beste verdediging blijft waakzaamheid. Organisaties moeten op de hoogte blijven van deze opkomende bedreigingen en gebruikers moeten twee keer nadenken voordat ze op links klikken, inloggegevens invoeren of bestanden downloaden, hoe legitiem ze ook lijken.