Clone phishing, deep fakes: de meest opmerkelijke phishingmethodes van dit moment
Door: Jelle Wieringa, security awareness advocate bij KnowBe4
Cybersecurity is een kat- en muisspel. Hoewel er nog altijd met hagel geschoten wordt op grote groepen potentiële slachtoffers, worden phishingaanvallen op specifieke doelwitten steeds geraffineerder. De aanvallers richten zich op de menselijke factor en maken gebruik van de nieuwste social engineering-technieken.
De afgelopen tijd zag ik veel voorbeelden van succesvolle phishingaanvallen die ongelooflijk geraffineerd waren. Met een keur aan obscure en creatieve methodes wisten internetcriminelen hun slachtoffers om de tuin te leiden. Als er ook nog eens werd ingespeeld op de gevoelens van medewerkers of als er zwakheden in de security culture van een organisatie werden uitgebuit, was het haast een recept voor de jackpot.
Omdat we ons met kennis kunnen wapenen tegen dit soort opmerkelijke phishingaanvallen, deel ik er aantal met jullie:
1. Deepfake nekt energieleverancier, Binance komt goed weg
Cyberaanvallen met behulp van deepfakes zijn al een tijdje in opkomst. Een van de meest schadelijke aanvallen tot nu toe vond plaats in 2019 en wordt anno 2022 gebruikt als blauwdruk voor deepfake-aanvallen op allerlei organisaties. Destijds slaagden internetcriminelen erin om met AI de stem van een CEO vakkundig na te bootsen. De directeur van een Brits energiebedrijf dacht een telefoongesprek te hebben met de CEO van het Duitse moederbedrijf, en ging er tijdens dat gesprek mee akkoord om 220.000 euro over te boeken naar een Hongaarse leverancier. De CEO in kwestie had echter nooit met de Britse directeur gebeld. Het bankrekeningnummer bleek van internetcriminelen.
Enkele maanden geleden kreeg cryptoplatform Binance met een overtreffende trap van deepfake-oplichting te maken. Potentiële partners dachten op Zoom een gesprek te hebben met de communicatiedirecteur van Binance. In werkelijkheid spraken ze tegen een hologram van de directeur, door criminelen gemaakt met AI op basis van tv-optredens van de man. Omdat de gesprekken gingen over het verhandelen van nieuwe tokens op het platform, waren de criminelen waarschijnlijk van plan om cryptocurrency te stelen van de partijen met wie ze valse vergaderingen hielden. Dankzij iemand die op de meeting terugkwam bij de echte Binance-directeur werd gelukkig op tijd ontdekt dat er sprake was van zeer vernuftige oplichting.
2. Microsoft 365 pop-up maakt veel slachtoffers
In april vorig jaar kwam een nieuwe variant van een veelgebruikte phishingmethode aan het licht. Slachtoffers van deze phishingaanval kregen een lege e-mail met als onderwerp ‘price reduction’ en een Excel-bestand als bijlage. Het Excel-bestand was echter een verkapt html-bestand, dat op deze manier niet werd tegengehouden door veel e-mailfilters. Wie het bestand opende, kreeg via een voorgeprogrammeerde website vrijwel meteen een pop-upscherm van Microsoft 365 te zien, met de boodschap dat er opnieuw ingelogd moest worden. Mensen die hun gebruikersnaam en wachtwoord invulden logden niet echt opnieuw in – ze gaven hun inloggegevens aan de internetcriminelen. Een in de basis simpele phishingmethode, die venijnig werd door het verbergen van het html-bestand en het gebruik van het voorname Microsoft 365 als dekmantel.
3. Nauwelijks van echt te onderscheiden: clone phishing
Een phishingmethode die pas dit jaar in zwang is geraakt, heet clone phishing. Een heel geniepige methode waar nog veel internetgebruikers op nat zullen gaan. Hierbij krijgt een ontvanger een e-mail van een bedrijf of zakenrelatie waar hij vaker e-mails van ontvangt. Er is sprake van clone phishing als de gebruiker kort na het ontvangen van zo’n email nog een tweede e-mail krijgt, omdat de bijlage was vergeten of omdat er niet de juiste link in het bericht stond. Deze tweede e-mail is echter niet van de originele afzender, maar van internetcriminelen die toegang hebben tot een e-mailaccount van de organisatie waar de ontvanger toe behoort. Zij klonen als het ware het originele bericht, maar zetten er nu kwaadaardige links of bijlages in. Door het e-mailadres van de originele afzender te spoofen, heeft de ontvanger niet snel door dat het tweede bericht een phishingmail is.
4. MailChimp en cryptobedrijf vallen ten prooi aan ‘downstream’-aanval
MailChimp, een platform waarmee veel nieuwsbrieven verstuurd worden, kreeg in maart van dit jaar te maken met een klassieke phishingaanval. Meerdere medewerkers van het bedrijf gaven onbewust hun inloggegevens weg, waarmee internetcriminelen toegang kregen tot accounts van klanten. Pijnlijk, want met die accounts konden de aanvallers zeer gemakkelijk phishingmails versturen naar vele duizenden ontvangers tegelijk. Daar hield het alleen niet op. Trezor, maker van hardware wallets voor cryptocurrency, merkte niet lang na het datalek bij MailChimp dat hun klanten phishingmails kregen die via MailChimp verstuurd werden. In die mails werden klanten overtuigd om hun inloggegevens in te voeren. De criminelen kregen zo toegang tot wallets en stalen cryptotegoeden. Dit is een voorbeeld van een ‘downstream’-aanval, waarbij organisaties gelinkt aan een eerder slachtoffer óók de klos zijn omdat er gegevens op straat liggen waar criminelen dankbaar gebruik van maken.
Anticiperen met training
Hoe de organisatie te beschermen tegen nieuwe en obscure phishingmethodes? Snel op de hoogte zijn van cyberaanvallen en datalekken bij diensten die de organisatie gebruikt of relaties waar veel mee wordt samengewerkt, kan veel ellende voorkomen. Het loont om te anticiperen op mogelijke phishingaanvallen, onder meer door medewerkers te trainen op de bedreiging met actuele voorbeelden en simulaties. Vertrouwen op technologie alleen is onvoldoende om internetcriminelen buiten de deur te houden. Als een cyberaanval linksom niet lukt, zullen internetcriminelen het rechtsom proberen. Uit bovenstaande gevallen blijkt nog maar eens dat kwaadwillenden het steeds vaker op de mens gemunt hebben.