Organisaties doelwit van phishingaanvallen op bedrijven
Onderzoekers van Barracuda hebben de afgelopen maand verschillende geavanceerde e-maildreigingen geïdentificeerd die organisaties en hun medewerkers als doelwit hebben. De methodes variëren van het gebruik van QR-codes in HTML-tabellen tot misleiding via Microsoft Teams en valse Facebook-waarschuwingen. Ook worden schadelijke links steeds moeilijker te detecteren door subtiele aanpassingen in de weergave.
Een van de onderzochte technieken maakt gebruik van de ‘Tycoon’ phishing kit. Hierbij worden QR-codes niet als afbeelding verzonden, maar opgebouwd uit kleine HTML-tabelcellen. Deze cellen vormen samen een scanbare code die traditionele e-mailbeveiliging kan omzeilen. Slachtoffers ontvangen een e-mail met de instructie de QR-code te scannen, waarna ze worden doorgestuurd naar een phishingpagina. Omdat er geen afbeeldingsbestand of zichtbare link is, herkennen veel automatische beveiligingssystemen de code niet als verdacht.
Callback-phishing via Microsoft Teams
Aanvallers misbruiken het vertrouwen in Microsoft Teams door slachtoffers toe te voegen aan groepen met urgente namen, zoals facturen of waarschuwingen over ongeautoriseerde kosten. In de berichten wordt ontvangers gevraagd een telefoonnummer te bellen om betalingen te voorkomen. Deze nummers worden beheerd door de aanvallers, die tijdens het gesprek proberen inloggegevens, betaalinformatie of andere gevoelige data te verkrijgen. Doordat de aanval via een vertrouwd platform verloopt en speelt in op emotie en tijdsdruk, is de kans groter dat slachtoffers in de val trappen.
Bij deze campagne ontvangen slachtoffers e-mails die lijken afkomstig van Facebook, met de melding dat zij auteursrechten zouden schenden. De berichten zijn overtuigend vormgegeven als officiële juridische waarschuwingen. Een link in de e-mail leidt naar een phishingformulier dat verschijnt in een nagemaakt browservenster. Slachtoffers worden gevraagd in te loggen, waarna hun gegevens door aanvallers worden onderschept.
Schadelijke links met onzichtbare aanpassingen
Onderzoekers signaleren dat aanvallers het wetenschappelijke deelteken (∕) gebruiken in plaats van de gebruikelijke schuine streep (/). Het verschil is nauwelijks zichtbaar, maar kan ervoor zorgen dat beveiligingsfilters de link niet correct analyseren. Slachtoffers die op zo’n link klikken, worden doorgestuurd naar onverwachte pagina’s of naar onderdelen van een grotere aanval.
De technieken laten zien dat aanvallers steeds creatiever worden in het omzeilen van beveiligingsmaatregelen. Organisaties wordt geadviseerd medewerkers bewust te maken van deze nieuwe methodes.
Meer informatie en tips voor organisaties om zich tegen deze vormen van e-mail cybercrime te verdedigen, is hier te vinden.
Meer over Barracuda
Over Wouter Hoeffnagel
