Hackers maken met dank aan Amerikaanse overheid misbruik van deze Google-optie
Details over de nieuwe manier van phishing werden gedeeld door de Google Threat Intelligence Group (GTIG) en Citizen Lab. De nieuwe methode zou al minstens sinds april dit jaar gebruikt worden door een dreigingscluster die getraceerd wordt als UNC6293 en waarschijnlijk gelinkt is aan een door Rusland gesteunde hackersgroep genaamd APT29. Die staat ook bekend onder verschillende andere namen, zoals BlueBravo, Cloaked Ursa, CozyLarch, Cozy Bear, ICECAP, Midnight Blizzard en The Dukes.
De hackers zouden vooral prominente Amerikaanse academici en critici van Rusland viseren, maar het is niet uitgesloten dat met deze methode uiteindelijk ook andere slachtoffers gemaakt worden. In wezen gaat het om aanvallen via “social engineering”, een techniek waarbij de mens als zwakste schakel in het systeem uitgebuit wordt. Dat gebeurt vaak via phishing en dat is ook hier dus het geval, zij het op een erg sluwe wijze.
Phishing met dank aan de Amerikaanse overheid
Bij phishing denken we vaak aan verdachte mails of telefoontjes die zogezegd van je bank komen. Je wordt dan bijvoorbeeld gevraagd om in te loggen, maar komt bij een malafide website terecht die de pagina van de bank nabootst om zo je logingegevens te stelen. Zulke oplichting is vaak nog relatief snel te ontmaskeren, maar bij APT29 gaan ze een stuk voorzichtiger te werk.
De Russische hackers nemen namelijk hun tijd en zouden eerst wekenlang proberen om het vertrouwen van hun slachtoffers te winnen alvorens ze hun slag slaan. Zo versturen ze bijvoorbeeld uitnodigingen voor een online vergadering, waarbij in cc verschillende verzonnen “@state.gov”-adressen vermeld worden die niet bestaan. Dit doen ze om alles officiëler te laten ogen en minder argwaan te wekken. De reden waarom dat lukt, heeft te maken met het feit dat deze mailserver van het Amerikaanse ministerie van Buitenlandse Zaken geconfigureerd is om alle inkomende mails te aanvaarden, ook wanneer ze naar een adres gestuurd worden dat niet bestaat. Er wordt dus geen melding teruggestuurd om duidelijk te maken dat een mail is verzonden naar een adres dat niet bestaat.
Het gevolg is dat slachtoffers door de inclusie van de overheidsadressen een vals gevoel van veiligheid krijgen. Hackers zouden immers toch nooit zomaar zulke adressen in cc zetten en als de verstuurde mails niet legitiem waren, dan zouden de betrokken overheidsinstanties vermoedelijk wel ingrijpen wanneer ze het zien passeren. Niet dus, en zo hengelen ze slachtoffers beetje bij beetje binnen.
Binnendringen via optie van Google
Uiteindelijk, nadat de hackers het gevoel hebben dat er voldoende vertrouwen is opgebouwd, komt er een uitnodiging voor een online ontmoeting. Dat moet echter wel in een veilige omgeving gebeuren en om die op te zetten moet het slachtoffer een “app password” creëren en delen met de hacker. Het slachtoffer krijgt daarvoor een handleiding toegestuurd.
App passwords zijn een optie die Google voorziet om apps alsnog toegang te geven tot je Google-account, terwijl ze normaal geblokkeerd zouden worden omwille van gebrekkige (2FA-)beveiliging. Het gaat om specifieke wachtwoorden die je kan instellen voor externe apps. In principe heb je daarbij zelf nog steeds de touwtjes in handen, maar in dit geval geef je het wachtwoord dus door een cybercriminelen die vanaf dat moment toegang hebben tot je account.
Recent waarschuwde ook Microsoft al voor een gelijkaardige manier van phishing, waarbij een ogenschijnlijk legitiem vergaderverzoek verzonden wordt met een malafide link eraan gekoppeld die ervoor zorgt dat slachtoffers zonder het te weten een gevalideerde authenticatiecode doorsturen waarmee hackers toegang krijgen tot hun systeem. In alle gevallen blijft het echter om “social engineering” gaan en dus kan je veel problemen voorkomen door gewoon je gezond verstand te blijven gebruiken en extra waakzaam te worden vanaf het moment dat iets niet helemaal pluis lijkt te zijn.
