Scammers hebben door de jaren heen verschillende trucs gebruikt om antiphishing-technologieën te omzeilen. Een andere truc met een hoog slagingspercentage bij het afleveren van phishing-links aan doelwitten is het gebruik van e-mailmarketingdiensten, ook wel bekend als e-mailserviceproviders (ESP’s) — bedrijven die zich specialiseren in het versturen van e-mailnieuwsbrieven — om berichten te sturen. Volgens de statistieken die we dankzij onze oplossingen hebben verkregen, is deze methode snel populairder geworden.
Waarom ESP-gebaseerde phishing werkt
Bedrijven die e-maildreigingen serieus nemen, scannen alle e-mail grondig met antivirus-, antiphishing- en antispam-engines voordat deze de inboxen van gebruikers kunnen bereiken. Deze engines scannen niet alleen de inhoud, headers en links van een bericht, maar controleren ook de reputatie van de verzender en eventueel gelinkte websites. Risicobeoordelingen zijn gebaseerd op een combinatie van die factoren. Als een massamailing bijvoorbeeld van een onbekende afzender komt, lijkt dit verdacht en is dit een waarschuwing voor de beveiligingsalgoritmes.
Aanvallers hebben hier echter een workaround voor gevonden: het versturen van e-mails namens een vertrouwde organisatie. E-mailmarketingdiensten, die end-to-end nieuwsbrievenmanagement aanbieden, zijn daar perfect geschikt voor. Ze zijn bekend; veel verkopers van beveiligingsoplossingen staan hun IP-adressen standaard toe; en sommige slaan controles van e-mails die via deze diensten worden verstuurd zelfs over.
Hoe ESP’s worden gebruikt
De belangrijkste aanvalsvector is simpel: het is phishing vermomd als legitieme mailings. In principe worden cybercriminelen klanten van de doeldienst, normaal gesproken door een minimaal abonnement aan te schaffen (alles wat meer kost zou nutteloos zijn, zeker omdat ze snel geïdentificeerd en geblokkeerd kunnen worden).
Maar er bestaat een exotischere optie: het gebruik van de ESP als een URL-host. Bij deze truc wordt de nieuwsbrief verzonden via de eigen infrastructuur van de aanvaller. De cybercriminelen kunnen bijvoorbeeld een testcampagne creëren die een phishing-URL bevat, en deze naar zichzelf sturen als preview. De ESP creëert een proxy voor die URL, en de cybercriminelen gebruiken de proxy-URL vervolgens simpelweg voor hun eigen phishing-nieuwsbrief. Een andere optie voor scammers is om een phishing-site te creëren die een mailing-sjabloon lijkt te zijn, en hier verstrekken ze vervolgens een directe link naar. Maar dat komt minder vaak voor.
Hoe dan ook, de nieuwe proxy-URL heeft nu een positieve reputatie, dus die wordt niet geblokkeerd; en de ESP, die de mailing niet verwerkt, ziet niets fouts en blokkeert zijn “client” niet. In ieder geval niet tot er klachten binnen beginnen te komen. Soms spelen zulke trucs zelfs een rol in spear-phishing.
Wat denken ESP’s?
Het mag geen verrassing zijn dat ESP’s niet bepaald staan te springen om gebruikt te worden door cybercriminelen. De meeste hebben hun eigen beveiligingstechnologieën die de berichtinhoud en links die door hun servers komen scannen, en ze bieden bijna allemaal wel ondersteuning voor iedereen die phishing via hun website tegenkomt.
Daarom proberen de aanvallers ook de ESP’s rustig te houden. Het gebruik van een provider voor proxies vertraagt phishing-links vaak, zodat links in testberichten ten tijde van de creatie ervan legitiem lijken; deze worden later pas schadelijk.
Wat u hiertegen kunt doen
In veel gevallen worden de massamailings naar werknemers van bedrijven verzonden waarvan de adressen openbaar beschikbaar zijn. En zelfs de meest waakzame mensen onder ons zien wel eens een verdachte of schadelijke e-mail over het hoofd en klikken wel eens op iets waar we dat beter niet hadden kunnen doen. Om werknemers tegen potentiële phishing-aanvallen die van een e-mailmarketingservice komen te beschermen, raden we het volgende aan:
- Instrueer uw personeel om nooit e-mails te openen die als “mass mailing” zijn aangemerkt, tenzij ze zich voor die specifieke mailinglist hebben aangemeld. Dit soort berichten is vaak niet erg dringend. Normaal gesproken is het gewoon nogal opdringerige reclame.
- Gebruik robuuste beveiligingsoplossingen die alle inkomende e-mail grondig scannen met gebruik van heuristische algoritmes.
Onder onze oplossingen vindt u Kaspersky Security for Microsoft Office 365 en Kaspersky Security for Mail Server, dat deel uitmaakt van Kaspersky Total Security for Business. Zij beschermen gebruikers op betrouwbare wijze tegen deze dreiging.