Aantal Russische phishingaanvallen verdubbeld in jaar tijd
Uit onderzoek van KnowBe4 Threat Lab blijkt dat er 98 procent meer phishingaanvallen gepleegd werden vanuit .ru-domeinen. Hackers schakelen steeds vaker ‘bullet-proof’ hostingproviders in. Die negeren bewust meldingen van misbruik en bieden een hoge mate van anonimiteit. Dit maakt ze bijzonder aantrekkelijk voor cybercriminelen die phishingaanvallen willen uitvoeren zonder snel gedetecteerd te worden.
Omzeilen van beveiligingsoplossingen
De onderzoekers identificeerden meer dan 1.500 unieke .ru-domeinen die specifiek werden ingezet voor phishingcampagnes. Opvallend is dat die domeinen een gemiddelde levensduur hebben van slechts 7,4 dagen. Hierdoor slagen veel van deze aanvallen erin traditionele beveiligingssystemen te omzeilen.
Zelfs bekende beveiligingsoplossingen zoals Exchange Online Protection, Barracuda Email Security Gateway, Mimecast en Cisco Ironport blijken niet altijd in staat de kwaadaardige e-mails te blokkeren. Cybercriminelen gebruiken verschillende methoden om detectie te voorkomen, waaronder het inzetten van QR-codes, automatische doorverwijzingen en meervoudig versleutelde bijlagen.
Phishing: filters misleid
Doordat beveiligingssoftware voornamelijk scant op bekende handtekeningen, slagen criminelen erin hun e-mails legitiem te laten ogen. Vaak doen zij zich bijvoorbeeld voor als een medewerker van de boekhoudafdeling, wat de kans vergroot dat ontvangers op de link klikken.
KnowBe4 adviseert bedrijven om strikte maatregelen te nemen tegen phishing via .ru-domeinen. Dat kan onder meer door .ru-domeinen standaard te blokkeren en het DMARC- SPF- en DKIM-beleid aan te scherpen, om e-mailspoofing tegen te gaan. Verder mogen filters wat strenger worden op het tegenhouden van .ru-domeinen en verdachte bijlagen. Maar ook belangrijk zijn awareness-trainingen voor werknemers, zodat er binnen bedrijven ook minder geklikt wordt op phishing-URL’s.
