Opgelet: hackers misbruiken pdf’s voor phishing via telefoon
In de meeste gevallen krijgen slachtoffers een e-mail toegestuurd, zogezegd van een groot, bekend bedrijf. Er wordt vaak melding gemaakt van een urgent probleem en er wordt doorverwezen naar een pdf-bestand in bijlage. In de pdf worden ontvangers aangemoedigd om een telefoonnummer te bellen van een helpdesk, maar uiteraard volgt er een neptelefoontje met cybercriminelen die gevoelige gegevens willen ontfutselen of schadelijke software willen installeren op het apparaat van het slachtoffer. Deze vorm van phishing is aan een opmars bezig.
Bekende merknamen misbruikt
Uit een analyse van honderden phishingmails (voornamelijk verzonden in mei) blijkt dat vooral Microsoft en DocuSign als grote merknamen misbruikt worden. Verder worden ook NortonLifeLock en PayPal regelmatig geïmiteerd. Het zijn nu eenmaal bekende namen die vaak meteen vertrouwen wekken bij de ontvanger, wat natuurlijk handig is als je een phishingcampagne voert.
Oplichters spelen dus in op dat vertrouwen. Slachtoffers krijgen vaak een e-mail met daarin een pdf die er legitiem uitziet. In het bestand stoppen de aanvallers vaak een malafide link, QR-code of telefoonnummer. Daarmee worden slachtoffers dan naar nepsites of nepservices geleid, waar de oplichting verdergaat. Om detectie te vermijden, zitten deze malafide links soms verborgen in een opmerking of invulveld in het pdf-bestand. Soms worden er ook QR-codes gebruikt die wél naar een legitieme site leiden, om zo het vertrouwen van het slachtoffer te winnen, terwijl vervolgens het telefoonnummer dan weer wel vals is.
TOAD: phishing via telefoon
In de meeste gevallen probeert men slachtoffers echt aan te sporen om te bellen, zodat ze vervolgens aan de lijn verder gemanipuleerd kunnen worden door de oplichters. Die gaan daarbij zorgvuldig te werk om alles echt te laten lijken, soms inclusief wachtmuziek. Dergelijke aanvallen staan bekend als “callback phising” of “TOAD”, wat staat voor “Telephone-Oriented Attack Delivery”.
Zoals gezegd doen de oplichters alsof er een groot probleem is dat dringend opgelost moet worden. Denk daarbij aan bijvoorbeeld een ongeautoriseerde betaling. In werkelijkheid is het natuurlijk een valstrik en tracht men persoonlijke informatie te ontfutselen of schadelijke software te installeren. Dat kan bepaalde malware zijn, maar net zo goed iets als TeamViewer, waarmee ze hun slachtoffers makkelijker naar een malafide betaalpagina kunnen begeleiden waar ze hun gegevens moeten invoeren.
Deze vorm van phishing wordt steeds populairder onder cybercriminelen. Ze misbruiken om te beginnen het feit dat mensen een telefonisch gesprek vaak meer vertrouwen dan gewoon een e-mail. Daarnaast biedt een telefoongesprek de aanvallers ook meer opties om in te spelen op de emoties van het slachtoffer. Onlangs waarschuwde ook de FBI al voor deze vorm van phising, specifiek omdat een groep genaamd Luna Moth verschillende bedrijven kon hacken door zich voor te doen als de IT-afdeling.
Wat kan je doen?
De combinatie van een officieel ogende pdf en een schijnbaar behulpzaam telefoontje is gevaarlijk. Wees daarom extra waakzaam bij onverwachte e-mails, zeker wanneer die met een bijlage komen en aandringen op snelle actie. Links en QR-codes zijn te wantrouwen, evenals telefoonnummers, die je best niet zomaar belt maar in plaats daarvan eerst even online kan opzoeken en controleren. Ga ook na of je verhelderende informatie vindt bij de officiële website van het bedrijf in kwestie. Vaak wordt op die manier al duidelijk dat er iets niet pluis is.
Natuurlijk is het zo dat bedrijven, zeker de grotere, je zelden of nooit op een dergelijke manier zullen contacteren. Zoals zo vaak is je gezond verstand gebruiken dan ook de voornaamste boodschap als je niet in de phishingval van cybercriminelen wil trappen.
