Wanneer we het hebben over trucs van cybercriminelen, raden we altijd aan goed naar de URL te kijken wanneer u op een link in een e-mail klikt. Hier is nog een rode vlag: een link naar een pagina die is vertaald met Google Translate. In theorie kan het zijn dat de afzender van de e-mail u uitnodigt om een site in een andere taal te bezoeken en zo alleen maar probeert te helpen. In de praktijk wordt deze techniek echter meestal gebruikt om antiphishing-mechanismen te omzeilen. Als het bericht deel uitmaakt van zakelijke correspondentie, en als de site die wordt geopend nadat u op de link hebt geklikt u vraagt om uw e-mailgegevens in te voeren, sluit dan het browservenster en verwijder de e-mail meteen.
Waarom aanvallers Google Translate-links gebruiken
Laten we eens kijken naar een recent voorbeeld van phishing via een Google Translate-link die door onze oplossingen werd onderschept:
De afzenders van de e-mail beweren dat de bijlage een soort betalingsdocument is dat uitsluitend voor de ontvanger beschikbaar is en dat moet worden bestudeerd voor een “presentatie van een contractvergadering en daaropvolgende betalingen”. De link van de knop Openen verwijst naar een door Google Translate vertaalde site. Dit wordt echter pas duidelijk als u erop klikt, want in de e-mail ziet het er als volgt uit:
De vreemde formulering van de e-mail is misschien opzettelijk, en kan een poging van de aanvallers zijn om de indruk te wekken dat ze geen Engels als moedertaal hebben, zodat de Google Translate-link overtuigender lijkt. Of misschien hebben ze gewoon nooit eerder een echte e-mail met financiële documenten gezien. Let op de twee onderstaande links (“Afmelden voor deze lijst” en “E-mailvoorkeuren beheren”), evenals het domein sendgrid.net in de link.
Dit zijn tekenen dat het bericht niet handmatig is verzonden, maar via een legitieme mailingdienst – in dit geval de SendGrid dienst, maar elke andere ESP zou hiervoor kunnen zijn gebruikt. Dit soort type diensten beschermt gewoonlijk hun reputatie en verwijderen op periodieke wijze e-mailcampagnes die gericht zijn op phishing en blokkeren de makers ervan. Daarom halen aanvallers hun links door Google Translate heen: de beveiligingsmechanismen van de ESP zien een legitiem Google-domein en beschouwen de site vervolgens niet meer als verdacht. Met andere woorden, het is een poging om niet alleen de eindgebruiker te misleiden, maar ook de filters van de intermediaire dienst.
Hoe ziet een link naar een door Google Translate vertaalde pagina eruit?
Google Translate laat u hele websites vertalen door eenvoudigweg een link door te geven en de bron- en doeltalen te selecteren. Het resultaat is een link naar een pagina waar het oorspronkelijke domein is afgebroken, en de URL is aangevuld met het domein translate.goog, gevolgd door de naam van de oorspronkelijke pagina en sleutels die aangeven naar en vanuit welke talen de vertaling is gemaakt. Een voorbeeld: de URL van de vertaling van de homepagina van ons Engelstalige blog www.kaspersky.com/blog naar het Spaans ziet zo uit: www-kaspersky-com.translate.goog/blog/?_x_tr_sl=auto&_x_tr_tl=es&_x_tr_hl=en&_x_tr_pto=wapp.
De door ons geanalyseerde phishing-e-mail probeerde de gebruiker hierheen te lokken:
De adresbalk van de browser laat, ondanks de reeks rommelkarakters, duidelijk zien dat de link is vertaald door Google Translate.
Hoe u beschermd blijft
Om te voorkomen dat bedrijfsmedewerkers in de trucs van cybercriminelen trappen, raden wij aan hun kennis van phishing-tactieken regelmatig op te frissen (bijvoorbeeld door relevante links naar onze blog te sturen) of, nog beter, hen bewust te maken van moderne cyberbedreigingen met behulp van gespecialiseerde trainingstools. Overigens zou een getrainde gebruiker in het bovenstaande voorbeeld nooit tot aan de phishing-pagina zijn geraakt, want de kans dat een legitiem financieel document gericht aan een specifieke ontvanger via een ESP-dienst wordt verzonden is op zijn best erg klein te noemen. Een tijdje terug schreven we al over ESP-gebaseerde phishing.
Voor extra zekerheid raden wij bovendien aan oplossingen te gebruiken met anti-phishing-technologieën, en dan zowel op het niveau van de zakelijke mailserver als op alle individuele apparaten van medewerkers.