E-maildreigingen in 2022

Welke trucs waren het populairst bij kwaadaardige e-mailverzenders in 2022?

De pandemie heeft het landschap van e-mailbedreigingen volledig veranderd. De massale overstap naar werken op afstand en de onvermijdelijke overgang van de meeste communicatie naar het online formaat heeft voor een toename van zowel phishing- als BEC-aanvallen gezorgd. Door de toegenomen stroom zakelijke correspondentie is het voor cybercriminelen veel gemakkelijker geworden om hun e-mails te vermommen tussen de enorme stapel legitieme e-mails, waardoor het nabootsen van zakelijke correspondentie een belangrijke aanvalsvector is geworden. Veel social engineering-trucs – zoals een melding die het slachtoffer aanspoort om zo snel mogelijk op een e-mail te reageren – hebben ook een nieuw leven gekregen. De belangrijkste trends die we in 2022 hebben kunnen waarnemen zijn de volgende:

  • Een toename van spam-mailings met schadelijke inhoud om de computer van het slachtoffer te infecteren
  • Actief gebruik van social engineering-technieken in schadelijke e-mails die typisch zijn voor spear-phishing (toevoegen van handtekeningen om specifieke afdelingen na te bootsen; gebruik van zakelijke taal en context die passen bij het doelbedrijf; meeliften op actuele gebeurtenissen; verwijzen naar echte bedrijfsmedewerkers).
  • Wijdverspreide spoofing – het gebruik van e-mailadressen met domeinnamen die lijken op de echte van doelorganisaties (waarbij slechts enkele tekens verschillen)

Hierdoor zijn de makers van kwaadaardige spam-mailings erin geslaagd deze te vermommen als interne berichten en zakelijke correspondentie tussen bedrijven, en zelfs als kennisgevingen van overheidsinstanties. Dit zijn de meest illustratieve voorbeelden die we dit jaar zijn tegengekomen:

Malware in e-mails

De belangrijkste trend van het afgelopen jaar waren malafide mailings vermomd als zakelijke correspondentie. Om de ontvanger over te halen om een bijlage te openen of een gekoppeld bestand te downloaden, proberen cybercriminelen ze er doorgaans van te overtuigen dat de e-mail zakelijke informatie bevat, zoals een commerciële aanbieding of een factuur voor de levering van goederen. De malware wordt vaak in een gecodeerd archief geplaatst, waarvan het wachtwoord in de body van de e-mail wordt vermeld.

Gedurende het hele jaar zijn wij bijvoorbeeld op de volgende truc gestuit: aanvallers kregen toegang tot echte zakelijke correspondentie (waarschijnlijk door deze te stelen van eerder geïnfecteerde computers) en stuurden alle deelnemers nieuwe e-mails met daarin schadelijke bestanden of links. Met andere woorden, ze waren in staat het gesprek op een plausibele manier te ontwikkelen. Deze list maakt schadelijke e-mails moeilijker te herkennen en vergroot de kans dat het slachtoffer erin trapt.

In de meeste gevallen wanneer er een schadelijk document wordt geopend, wordt ofwel de Qbot– of de Emotet-trojan geladen. Beide kunnen gebruikersgegevens stelen, informatie over een bedrijfsnetwerk verzamelen en andere malware zoals bijvoorbeeld ransomware verspreiden. Daarnaast kan Qbot worden gebruikt om toegang te krijgen tot e-mail en berichten te stelen. Oftewel: het dient als correspondentiebron voor verdere aanvallen.

Nu het einde van het jaar nadert, zien we steeds inventievere soorten bedrog opduiken. Begin december bijvoorbeeld vroegen oplichters die zich voordeden als een liefdadigheidsorganisatie aan slachtoffers om afstand te doen van hun oude apparatuur. Om mee te helpen aan deze nobele onderneming moesten ze natuurlijk een bestand downloaden dat de lijst van geaccepteerde apparaten zou bevatten. Maar in feite was de bijlage een schadelijk uitvoerbaar bestand, verborgen in een met een wachtwoord beveiligd archief.

In een andere e-mailcampagne verstuurden aanvallers, onder het mom van facturen, tienduizenden archieven met een kwaadaardig trojaans achterdeurtje, waarmee op afstand controle over de besmette computer kon worden verkregen. Het interessantste is dat het bijgevoegde archief extensies had als.r00,.r01, enz. Waarschijnlijk wilden de makers de bijlage doen voorkomen als onderdeel van een groot RAR-archief in een poging de automatische beveiligingssystemen voor bepaalde bestandsextensies te omzeilen.

Valse kennisgevingen van de overheid

E-mails die officiële kennisgevingen van ministeries en andere overheidsdiensten imiteren, komen dit jaar vaker voor. Deze trend is vooral merkbaar in het Russischtalige segment van het internet. E-mails van dit type zijn afgestemd op het profiel van de specifieke organisatie. Het afzenderadres lijkt meestal op het echte domein van de afdeling, en de schadelijke bijlage heeft meestal een relevante titel, zoals “Commentaar op de resultaten van de vergadering”. Eén zo’n bijlage bevatte schadelijke code om een kwetsbaarheid in Equation Editor, een onderdeel van Microsoft Office, te misbruiken.

Het meeliften op actuele gebeurtenissen

In het Russischtalige segment van het internet zagen we ook een toename van kwaadaardige e-mailactiviteiten op basis van het actuele nieuws. In oktober verspreidden cybercriminelen bijvoorbeeld malware onder het mom van oproepen voor het leger, waarbij ze misbruik maakten van de “gedeeltelijke mobilisatie” van Rusland. De e-mails verwezen naar het Russische wetboek van strafrecht, gebruikten de heraldiek en stijl van het ministerie van Defensie en vroegen de ontvanger het bevel te downloaden via de opgegeven link. In feite wees de link naar een archief met een uitvoerbaar script dat een uitvoerbaar bestand aanmaakte en uitvoerde.

Daarnaast hebben we een e-mail gezien die zogenaamd afkomstig zou zijn van Russische wetshandhavers. Het bericht nodigde het slachtoffer uit een “nieuwe oplossing” te downloaden om zich te beschermen tegen online bedreigingen van “vijandige” organisaties. In werkelijkheid was het programma dat op de computer werd geïnstalleerd echter een ransomware-trojan.

Hoe u beschermd blijft

Cybercriminelen worden elk jaar geraffineerder en de methoden om zakelijke correspondentie na te bootsen worden ook nog eens steeds overtuigender. Om uw bedrijfsinfrastructuur te beschermen tegen e-mailaanvallen moet u dus zowel aandacht besteden aan organisatorische als technische maatregelen. In andere woorden, naast het hebben van beveiligingsoplossingen zowel op het niveau van de zakelijke mailserver en op alle met het internet verbonden apparaten, raden we ook nog regelmatige bewustzijnstrainingen op het gebied van cybersecurity voor werknemers aan.

Tips