De jacht op mailinglijsten

Cybercriminelen versturen phishing-e-mails om toegang tot ESP-accounts te kapen.

Hoe gevaarlijk het ook is als consumenten denken dat ze te saai zijn om doelwit te worden van cybercriminelen, het is nog erger als we datzelfde horen van mkb’ers. Als ze fundamentele beschermingsmaatregelen hierdoor negeren, komt dat cybercriminelen natuurlijk goed uit — hun doelwitten zijn niet altijd degenen waarvan u het verwacht. Een voorbeeld komt van een bericht dat onlangs in onze e-mailval terecht kwam: phishing gericht op het kapen van een e-mailserviceprovider-account (ESP) — voor mailinglijsten.

Hoe e-mailservice-phishing in zijn werk gaat

Het begint allemaal met een werknemer van een bedrijf die een bericht ontvangt waarin de betaling voor een abonnement op een ESP wordt bevestigd. De link in het bericht geeft de ontvanger zogenaamd toegang tot het bewijs van aankoop. Als de ontvanger inderdaad een klant van deze ESP is (en de phishing is inderdaad gericht op echte klanten), is het waarschijnlijk dat hierop geklikt wordt in de hoop meer informatie te krijgen over deze betaling.

Hoewel de hyperlink naar een ESP-pagina lijkt te verwijzen, is dat in werkelijkheid iets heel anders. Door erop te klikken worden slachtoffers doorverwezen naar een site die erg op een legitieme inlogpagina lijkt.

Twee inlogschermen. Links ziet u de neppagina.

In dit stadium zal het geen verrassing meer zijn dat eventueel ingevoerde gegevens op de nep-inlogpagina rechtstreeks naar de cybercriminelen gaan. Houd er echter rekening mee dat behalve deze misleiding, de nepsite de gegevens die het verzamelt ook nog eens via een onbeschermd kanaal verstuurt. De aanvallers hebben niet eens de moeite genomen om de CAPTCHA na te maken, hoewel ze wel een voorbeeld ervan hebben ingevoegd in het e-mailveld. We zouden ook een vlag rechts onderin de hoek moeten zien. Maar de meeste gebruikers zullen dit soort afwijkingen waarschijnlijk niet opmerken.

Waarom het kwijtraken van toegang tot een ESP-account gevaarlijk is

In het beste geval gebruiken de aanvallers die toegang hebben gekregen tot een ESP-account de lijst met e-mailadressen van klanten om spam te versturen. Industrie-specifieke mailinglijsten leveren op de zwarte markt echter meer op dan simpele verzamelingen van willekeurige e-mailadressen; het kennen van de branche van een bedrijf helpt cybercriminelen ook om gerichte spam te versturen.

Gezien de phishing-specialiteit van de cybercriminelen is het waarschijnlijk dat iedereen op de gestolen lijsten een phishing-mail zal ontvangen die van het bedrijf afkomstig lijkt te zijn. Vervolgens zal de ontvanger, of die zich nu heeft geabonneerd op een nieuwsbrief of een daadwerkelijke klant is, het bericht waarschijnlijk openen, lezen en zelfs op de link erin klikken. De verzender lijkt immers niet verdacht.

Maskeermethodes

Bij het beter bestuderen van de phishing-mail ontdekten we dat hij was verzonden via een mailingservice, maar wel een andere (een concurrent van de ESP waar hij zogenaamd van afkomstig was). Voor de logica achter die keuze kunt u ons artikel “Phishing via e-mailmarketingdiensten lezen.” Het is interessant om te zien dat de cybercriminelen zelfs een landingspagina voor hun “marketingfirma” hebben gemaakt om het leven van de campagne te verlengen. (De paginatitel, “Simple House Template”, is echter niet erg overtuigend.)

Een landingspagina voor de neppe “marketingfirma”.

Het voorgaande lijkt te suggereren dat de aanvallers gedetailleerde kennis hebben van de mechanismes van verschillende mailingservices, en het is mogelijk dat ze ook klanten van andere ESP’s aanvallen.

Hoe u zich tegen phishing beschermt

Om te voorkomen dat u slachtoffer wordt, dient u de standaard tips te volgen:

  • Klik niet op links in onverwachte berichten, vooral niet als die u vragen om ergens in te loggen. Zelfs als het bericht er legitiem uitziet, is het beter om een browser te openen en de naam van de site handmatig in te typen.
  • Controleer de beveiliging van de site. Als uw browser een website niet als veilig herkent, dan kan iemand uw gebruikersnaam en wachtwoord onderscheppen.
  • Leer hoe u de standaard tekenen van phishing herkent, en train uw volledige personeel hier ook in. U hoeft hier niet uw eigen lessen voor te maken; er bestaan online trainingsplatformsvoor deze doeleinden.
  • Gebruik gespecialiseerde oplossingen om spam en phishing in bedrijfsmail te filteren.
  • Installeer een update beveiligingssystemen op alle werkapparaten, zodat zelfs als iemand op een phishing-link klikt, het gevaar zal worden vermeden.
Tips