28 juli 2023 11:17

Welke zijn de veelgebruikte zinnen in phishing-mails? Onderzoek door ESET

Oplichters maken gebruik van gebeurtenissen, accountmeldingen, bedrijfscommunicatie en een gevoel van urgentie.

In 2014 legde een datalek de informatie van drie miljard Yahoo-gebruikers bloot. In 2016 zagen medewerkers van Sony Pictures lekken van gevoelige privé-informatie en duizenden bedrijfsdocumenten. Wat hebben deze twee aanvallen gemeen? Ze begonnen met een phishingmail.

E-mailbedreigingen zijn een van de meest voorkomende manieren om toegang te krijgen tot gevoelige informatie of om malware te installeren. Hoewel de meeste phishinggevallen op anonieme gebruikers gericht zijn, kunnen oplichters ook e-mails met valse links of bestanden gebruiken om zich te richten op specifieke personen die over gevoelige informatie beschikken. Zoals aangegeven door onderzoekers van ESET, steeg dit type dreiging in 2022 met bijna 30% in een jaar. Met AI-taalmodellen die het gemakkelijker maken om e-mails te schrijven, zal dit aantal nog toenemen!

Phishing is een vorm van social engineering die ervoor zorgt dat mensen reageren met een gevoel van urgentie en nieuwsgierigheid. Als we allemaal het slachtoffer kunnen worden van dergelijke aanvallen, kunnen we die ook leren vermijden. Hier zijn enkele concrete voorbeelden van de meest gebruikte phishing mails om ons te bedriegen.

“Uw sessie is verlopen. Klik hier om opnieuw verbinding te maken”.

Enkele van de meest voorkomende phishing-lijnen en -tactieken informeren ons dat we van een account uitgelogd zijn, en vragen om onze inloggegevens opnieuw in te voeren. Klikt men op de link dan gaat men naar een website die veel op de echte lijkt. Het verschil is dat het invoeren van onze inloggegevens ze onmiddellijk naar oplichters stuurt, die ze dan gebruiken om toegang te krijgen tot onze accounts. In sommige gevallen kunnen ze zelfs voor ons inloggen en het wachtwoord wijzigen zodat we geen toegang meer krijgen.

Deze techniek is gebaseerd op de gewoonte van gebruikers om berichten automatisch te beantwoorden zonder na te denken over de inhoud of zonder de typische tekenen van een phishing-e-mail/-bericht te controleren. (Lees hier meer over deze tekens).

Een voorbeeld: vorig jaar waarschuwde GitHub Security voor e-mails die zich voordeden als het populaire CI/CD-softwareontwikkelingsplatform CircleCI. Oplichters stuurden een waarschuwing met “sessie verlopen” en vroegen om een nieuwe login met behulp van GitHub-referenties. “We hebben ongebruikelijke activiteit op uw account opgemerkt. Controleer alstublieft.”

Met deze truc proberen oplichters een gevoel van urgentie te creëren. Wie wil het plotse verlies van een account niet voorkomen? Meestal doen deze e-mails zich voor als berichten van legitieme diensten als Amazon, PayPal, enz.

Zo heeft de Amerikaanse Federal Trade Commission (FTC) eind 2018 een waarschuwing uitgestuurd (issued a warning about) over phishing-e-mails die zich als Netflix voordeden. Deze e-mails beweerden dat een account was opgeschort vanwege een probleem met betalingsgegevens, waarin gebruikers werden gevraagd hun factuurgegevens bij te werken via een kwaadaardige ingesloten link die werd gebruikt om inloggegevens te verkrijgen.

In 2016 werden Apple-klanten op een gelijkaardige manier aangevallen (customers were targeted in 2016), toen oplichters probeerden hun persoonlijke gegevens te stelen met phishing-e-mails waarin werd beweerd dat gebruikers hun accountgegevens opnieuw moesten bevestigen omdat er “een virus” in Apple’s iTunes databank was gevonden.

“Ik heb een dringende betaling nodig”

Imitatie van bedrijfsaccounts is al lang een topper onder spear phishing-campagnes die niet gericht zijn op anonieme individuen, maar wel een specifieke persoon of groep werknemers bij een geselecteerd bedrijf aanvallen.

Vooraleer deze frauduleuze e-mails te verzenden, bestuderen de oplichters zoveel mogelijk de structuren, afbeeldingen, taal, enz. van een bedrijf, zodat men de phishing-e-mail bijna niet kan onderscheiden van een echte e-mail.

Sommige van deze e-mails zijn specifiek gericht op werknemers verantwoordelijk voor fondsenbeheer en financiële zaken. Ze doen zich voor als de CEO of een andere leidinggevende die bevoegd is om een opdracht tot geldtransacties te geven en vragen het slachtoffer om geld over te maken op een rekening, zoals die van de CEO of zelfs die van het bedrijf.

In 2018 werd de identiteit van de CEO gebruikt om meer dan CA $ 100.000 van de stad Ottawa te stelen. De financiële directeur van de stad kreeg een nagebootst verzoek van het stadsbestuurder via een valse e-mail om dit bedrag over te maken en het kwam in de zakken van de oplichters terecht. De oplichters probeerden de financiële directeur ook een tweede keer te misleiden, maar toen hij het stadsbestuur vroeg of het verzoek legitiem was, werd de zwendel ontdekt en werden de oplichters betrapt.

“Beste kandidaat…”

Deze phishing-e-mails zijn gebaseerd op nep-vacatures. Ze kunnen slachtoffers misleiden om op een phishing-link te klikken of kwaadaardige bestanden te openen die met de e-mail verzonden zijn, waarbij het slachtoffer wordt gevraagd een account aan te maken en persoonlijke gegevens te verstrekken om te kunnen solliciteren.

De Lazarus-dreigingsgroep heeft heel wat dergelijke campagnes gevoerd. De DreamJob-operatie, onlangs ontdekt door ESET-onderzoekers (discovered by ESET researchers), lokte slachtoffers met valse vacatures.

Deze oplichting bestaat ook op populaire vacaturesites. Controleer altijd of de headhunter die met u contact heeft opgenomen legitiem is en of de vacature wel echt is.