Om zakelijke e-mailgegevens van werknemers van een bedrijf te stelen, moeten aanvallers eerst langs de antiphishing-oplossingen op de e-mailservers van het bedrijf zien te komen. Vaak gebruiken ze legitieme webdiensten om niet op te vallen, en steeds vaker gaat het dan om Google Apps Script, een op JavaScript gebaseerd scriptingplatform.
De 'App script aanval'
Apps Script is een op JavaScript gebaseerd platform voor het automatiseren van taken binnen producten van Google (bijv. het maken van add-ons voor Google Docs) en in toepassingen van derden. Het is in feite een service voor het creëren van scripts en om deze vervolgens in de Google-infrastructuur uit te voeren.
In e-mailphishing gebruiken aanvallers deze dienst voor redirects. In plaats van de URL van een schadelijke website rechtstreeks in een bericht te plaatsen, kunnen cybercriminelen een link naar een script plaatsen. Op die manier omzeilen ze de anti-phishing-oplossingen van de mailserver, want een hyperlink naar een legitieme Google-site met een goede reputatie komt eenvoudig door de meeste filters heen. Een bijkomend voordeel voor cybercriminelen is dat onopgemerkte phishing-sites langer in de lucht kunnen blijven. Deze truc biedt aanvallers ook de flexibiliteit om het script zo nodig te wijzigen (voor het geval beveiligingsoplossingen aanslaan), en om te experimenteren met de levering van inhoud (bijvoorbeeld door slachtoffers naar verschillende versies van de site te sturen, afhankelijk van hun regio).
Het enige dat de aanvallers hoeven te doen, is ervoor zorgen dat gebruikers op een link klikken. Onlangs was het meest voorkomende voorwendsel een “volle mailbox”. Dat klinkt in theorie best plausibel.
Een typische phishing-mail met de “volle mailbox”-truc
De Microsoft Outlook 'App script aanval'
In de praktijk zijn aanvallers soms onzorgvuldig en laten ze tekenen van fraude achter die zelfs voor gebruikers die niet zo vertrouwd zijn met echte meldingen duidelijk zouden moeten zijn:
- De e-mail lijkt van Microsoft Outlook te komen, maar het e-mailadres van de afzender heeft een buitenlands domein. Een echte melding over een volle mailbox zou van de interne Exchange-server afkomstig moeten zijn. (Bonusteken: in de naam van de afzender, Microsoft Outlook, ontbreekt er een spatie en er is een nul gebruikt in plaats van de letter O.)
- De link die verschijnt als u met de cursor over “Fix this in storage settings” beweegt, leidt u naar een Google Apps Script-site:
E-maillink naar Google Apps Script
- De limieten van mailboxen worden niet plotseling overschreden. Outlook waarschuwt gebruikers al lang van tevoren dat hun opslagruimte op begint te raken. Als die limiet plotseling met 850 MB is overschreden, zou dat waarschijnlijk betekenen dat u in één keer zoveel spam ontvangt, wat hoogst onwaarschijnlijk is.
Hoe dan ook, hier volgt een voorbeeld van een legitieme melding van Outlook:
Legitieme melding over een mailbox die bijna vol zit
- De link met “Fix this in storage settings” verwijst naar een phishing-site. Hoewel het in dit geval een vrij overtuigende kopie is van de inlogpagina van de web-interface van Outlook, blijkt uit een blik op de adresbalk van de browser dat de pagina wordt gehost op een vervalste website en niet binnen de infrastructuur van het bedrijf.
Hoe voorkomen
Uit ervaring blijkt dat phishing-mails niet noodzakelijkerwijs phishing-links hoeven te bevatten. Daarom moet betrouwbare zakelijke bescherming anti-phishing-functies bevatten, zowel op het niveau van de mailserver als op de computers van gebruikers.
Daarnaast moet verantwoordelijke bescherming ook regelmatige bewustzijnstraining voor werknemers omvatten, waar wordt ingegaan op huidige cyberdreigingen en phishing-trucs.
Dertien aanhoudingen door Cyberteam Antwerpen in een omvangrijke phishing zaak
Het cyberteam van politiezone Antwerpen heeft een phishingbende opgerold die op slechts enkele dagen tijd vele duizenden euro’s zou hebben afgetroggeld bij nietsvermoedende slachtoffers. Woensdagochtend zijn in opdracht van de onderzoeksrechter zestien huiszoekingen verricht in Antwerpen, Essen, Schelle en Sint-Jans-Molenbeek. Dertien verdachten zijn gearresteerd.
Phishing, Smishing en Vishing populair als aanvalstechniek
De covid19 pandemie heeft wereldwijd honderdduizenden levens geëist, massale werkloosheid veroorzaakt en de manier waarop veel mensen hun leven leiden veranderd. Zelfs de economisch meest welvarende en stabiele economieën maken zich zorgen.
"Vertrouwde" phishingmail aanvallen van derden is de trend
Een van de meest voorkomende zorgen van IT-beveiligers en CISO's (Chief Information Security Officer) is de toename van phishingaanvallen afkomstig van gehackte vertrouwde partners en contractpartners.
Een ‘verzendlabel’ aanmaken, doe dit niet
Internetcriminelen hebben een nieuwe methode bedacht om persoonlijke informatie van nietsvermoedende slachtoffers buit te maken.
Netflix phishing pagina schuilt achter werkende CAPTCHA
Een recente golf van phishingaanvallen die erop zijn gericht om betaalkaart gegevens en inloggegevens voor de Netflix-streamingdienst te stelen, begint met het omleiden naar een functionerende CAPTCHA-pagina om e-mail beveiligings maatregelen te omzeilen.
Spear Phishing: topbedreigingen en trends, "Inbox is archief"
Als kwaadwillenden toegang hebben tot een bedrijfsaccount dan struinen ze daar weken of maanden rond.