'TurkeyBombing' Phishing Scam

We leven in precaire en ongekende tijden waarin ons dagelijks leven op zijn kop staat als gevolg van de wereldwijde pandemie. Grote groepen mensen zijn gedwongen om tal van aspecten van hun gebruikelijke activiteiten naar het online domein te verplaatsen, waardoor cybercriminelen een aanzienlijke kans krijgen. Eerder in 2020 ontdekten infosec-onderzoekers al verschillende gevallen waarin bedreigingsactoren gebruik maakten van het Zoom Video Communications-platform om onlinevergaderingen in beide werkomgevingen te verstoren, evenals mensen die in contact komen met hun familie en familieleden.

Een veel sinistere campagne werd echter losgelaten rond Thanksgiving en kon nog wel even doorgaan. Met de naam TurkeyBombing, richtte het zich op miljoenen potentiële slachtoffers, waarvan er duizenden al gevallen zijn voor de tactiek. Het doel van de cybercriminelen is om de Microsoft-inloggegevens te bemachtigen van nietsvermoedende Zoom-gebruikers die het platform mogelijk hebben gebruikt tijdens het lange Thanksgiving-weekend.

Hackers maken gebruik van Thanksgiving om phishingaanvallen uit te voeren

De aanval begint met de hackers die talloze phishing-e-mails verspreiden. In de misleidende e-mails staat dat de beoogde gebruiker een uitnodiging voor een videoconferentie heeft ontvangen en een link bevat die de gebruiker naar de telefonische vergadering moet leiden. In plaats daarvan wordt de beschadigde link omgeleid naar een valse Microsoft-inlogpagina die wordt gehost op Appspot.com. Dit is een legitiem domein dat softwareontwikkelaars vaak gebruiken om webtoepassingen te hosten in een door Google beheerd datacenter.

De inlogpagina is echter verre van legitiem, omdat deze alle inloggegevens verzamelt die het slachtoffer invoert. Om de kansen van de gebruikers om op te merken dat er iets niet klopt verder te verkleinen, vult de nep-inlogpagina het veld waarin om een e-mailadres wordt gevraagd met het e-mailadres van de gebruiker. Het vraagt vervolgens om de inloggegevens van een gekoppeld Microsoft-account. Naast het verzamelen van al deze inloggegevens, registreert de bestemmingspagina ook het IP-adres en de geolocatie van het slachtoffer. Als de hackers de inloggegevens van een Microsoft-geprivilegieerde account ontvangen, zullen ze proberen toegang te krijgen via een IMAP-verificatie (Internet Message Access Protocol).

Tot nu toe is bevestigd dat de cybercriminelen erin geslaagd zijn om meer dan 3600 unieke e-mailadressen van slachtoffers te bemachtigen. Met miljoenen mensen die tijdens het Thanksgiving-weekend probeerden hun dierbaren te zien, wat resulteerde in miljoenen videogesprekken, zou het werkelijke aantal gecompromitteerde accounts veel groter kunnen zijn.