Phishing-as-a-service: Betalen per phishing aanval of een abonnement? 

Gepubliceerd op 23 september 2021 om 17:08

Verschillende vormen van cybercrime worden als een service aangeboden en phishing is er daar één van. Microsoft ontdekte onlangs een phishing-as-a-service operatie die bij één enkele aanval 300.000 unieke subdomeinen gebruikte. Een tactiek die volgens het techbedrijf steeds populairder wordt bij phishingaanvallen.

Phishingdienst BulletProofLink

De phishingdienst heet BulletProofLink en biedt klanten een abonnement van 800 dollar per maand. Ook kan er per phishingaanval worden betaald. Als onderdeel van het abonnement krijgen klanten hosting, phishing templates en een helpdesk. De phishing templates die voor de phishing sites worden gebruikt sturen ingevulde gebruikersnamen en wachtwoorden niet alleen door naar de klant, maar ook naar de phishing-as-a-service aanbieder, die zodoende dubbel aan de klant verdient.

Infinite subdomain abuse

Een volgens Microsoft interessant onderdeel van de campagne is een techniek die het "infinite subdomain abuse" noemt. Hierbij weten aanvallers de dns-instellingen van een domein aan te passen of wanneer een gecompromitteerd van wildcard subdomeinen gebruikmaakt. Hierdoor kunnen aanvallers een oneindig aantal subdomeinen aanmaken en zo voor elke ontvanger van de phishingmail een unieke url creëren.

Populair

Microsoft stelt dat de techniek steeds populairder onder aanvallers wordt. In plaats van te werken met een groot aantal eenmalig te gebruiken domeinnamen, is er een onbeperkt aantal subdomeinen aan te maken dat naar een klein aantal phishingpagina's hoeft door te verwijzen. Daarnaast hoeft de website zelf niet gecompromitteerd te worden maar alleen de dns-instellingen. Verder kan het voor bepaalde filters een probleem zijn die alleen naar de exacte url kijken.

Catching The Big Fish Analyzing A Large Scale Phishing As A Service Operation
PDF – 3,0 MB 250 downloads

De Belastingdienst "Uw openstaande schuld is na meerdere herinneringen niet voldaan"

Momenteel komen er veel vragen binnen bij Cybercrimeinfo.nl over het betalen van belastingschuld, de meeste berichten beginnen met "Uw openstaande schuld is na meerdere herinneringen niet voldaan", zo begint een phishing bericht meestal dat recentelijk uit naam van de Belastingdienst werd verstuurd en het is niet de enige. De afgelopen weken ontving de fiscus veel meer meldingen van phishing dan normaal. Het gaat zowel om e-mails als sms'jes, phishing en smishing dus.

Lees meer »