Categorie op Phishing

Microsoft waarschuwt voor phishing-campagne via open redirector links

Securityexperts van Microsoft waarschuwen voor een phishing-campagne die open redirector links gebruikt. Windows defender zou deze aanvallen inmiddels afslaan.

In hun waarschuwing stellen de experts van de techgigant dat er een grote phishing-campagne voor het ontvreemden van inloggegevens aan de hand is. De campagne zou met behulp van social engineering lokkertjes gebruikers willen verleiden tot het klikken op als gewone URL’s vermomde redirector links.

Redirector links zorgen ervoor dat een een webapplicatie toestaat dat een HTTP-parameter een URL bevat die een HTTP-verzoek herleidt naar een bepaalde bron. Redirector links worden bijvoorbeeld vaak toegepast in verkoop- en marketingomgevingen voor het direct leiden van klanten naar de juiste landingspagina’s.

Verloop aanval

In de aanval zorgen de redirector links ervoor dat slachtoffers eerst naar een CAPTCHA-verificatiepagina worden geleid. Dit moet hen een vals gevoel van legitimiteit geven en voorkomt ook dat sommige geautomatiseerde analysesystemen worden omzeild. Vervolgens worden ze doorgestuurd naar een valse login-pagina voor een Microsoft-dienst als Office 365.

Wanneer het slachtoffer vervolgens een wachtwoord ingeeft, ververst de pagina zichzelf en stelt dat er iets is misgegaan, zoals een time-out. Het slachtoffer wordt gevraagd het wachtwoord opnieuw in te voeren. Daarna worden de slachtoffers naar een legitieme landingspagina van Sophos geleid. Die stelt ten onrechte dat het email-bericht voor het herstellen van hun wachtwoord is verstuurd. Inmiddels beschikken de hackers dan over de inloggegevens van de slachtoffers.

350 verschillende domeinen

Microsoft geeft aan inmiddels 350 verschillende domeinen te hebben ontdekt die bij deze campagne betrokken zijn. Dit kunnen er meer zijn omdat de phishing URL’s door een algoritme worden aangemaakt, waardoor phishing-domeinen ‘on the fly’ kunnen worden aangemaakt. De phishing mails worden verstuurd met onderwerpen die onder andere als volgt beginnen: (naam ontvanger) 1 New Notification, Report Status for XXX, Zoom Meeting for XXX at (datum en tijd), Status for XXX at (datum en tijd), Password Notification for XXX at (datum en tijd) en (naam ontvanger) eNotification.

Windows Defender onderschept

Gelukkig geeft de techgigant aan dat Windows Defender for Office 365 inmiddels de betreffende e-mails onderschept en in een sand box plaatst. Binnen deze sand box worden alle redirector links onderzocht. ‘Zelfs in gevallen van CAPTCHA-verificatie’, aldus Microsoft.

© Techzine

Phishingmails MijnOverheid proberen bankgegevens te onfutselen

De afgelopen dagen zijn er meerdere phishingmails verstuurd die van MijnOverheid afkomstig lijken en bankgegevens van slachtoffers proberen te ontfutselen. De berichten hebben onder ander als onderwerp “Let op een document in uw berichtenbox!” en “Er staat een document in uw berichtenbox klaar” en stellen dat er een document voor de ontvanger klaarstaat.

De aanvallers hebben daarbij de tekst vermeld dat het vanwege technisch onderhoud niet mogelijk is om het bericht via de Berichtenbox te lezen, en het daarom in de browser moet worden bekeken. Woensdag 25 augustus vindt er inderdaad onderhoud aan MijnOverheid en de Berichtenbox-app plaats, waardoor de website en app van 00.00 tot 04.00 uur niet beschikbaar zijn. De links in de e-mail wijzen naar een phishingsite die zich voordoet als een DigiD-pagina van de Belastingdienst. Daarbij wordt ook gesteld dat de rekening moet worden gevalideerd waarop de gebruiker zijn teruggave van de bank wil ontvangen.

Vervolgens kan er een bank worden gekozen, waarbij er een specifieke phishingpagina voor de betreffende bank wordt geladen. De afgelopen dagen maakten meerdere mensen op Twitter melding van de phishingmails. De webcare van MijnOverheid vraagt om phishingmails door te sturen naar valse-email@digid.nl.

Via de BerichtenBox van MijnOverheid kunnen burgers post van de overheid ontvangen. Het gaat dan bijvoorbeeld om berichten van gemeenten, waterschappen en landelijke organisaties. Inmiddels hebben zo’n 8,9 miljoen mensen een MijnOverheid-account.

Lees hier verder. © Security.nl

Microsoft meldt grootschalige phishingcampagne via open redirects

Bij een grootschalige phishingcampagne bedoeld om inloggegevens te stelen maken criminelen gebruik van open redirects en captcha’s om slachtoffers te misleiden, zo meldt Microsoft. De aanval begint met een phishingmail die zich onder andere voordoet als Zoom-uitnodiging, melding van Microsoft 365 of een bericht dat het wachtwoord is verlopen.

Gebruikers wordt vervolgens gevraagd om een link in het bericht te openen. Hierbij maken de aanvallers gebruik van een open redirect, waarbij er wordt gewezen naar een legitieme dienst. De gebruikte link bevat echter een parameter die naar de phishingsite wijst. Zodra een gebruiker de link opent zorgt de open redirect bij de legitieme dienst ervoor dat de gebruiker naar de phishingsite wordt gestuurd.

Het gebruik van open redirects bij phishingaanvallen is niet nieuw, zo laat Microsoft weten. Een link die naar een vertrouwd domein wijst kan eindgebruikers echter op het verkeerde been zetten. Wanneer gebruikers op de phishingpagina terechtkomen moeten ze eerst een captcha oplossen. Mogelijk hebben de aanvallers deze captcha toegevoegd om scanpogingen en analyses van de pagina te voorkomen, waardoor de phishingpagina langer online kan blijven.

Na het oplossen van de captcha wordt de gebruiker om zijn wachtwoord gevraagd, waarbij zijn e-mailadres al is ingevuld. Wanneer het slachtoffer zijn wachtwoord invult verschijnt er een foutmelding en moet het wachtwoord nog een keer worden ingevuld. Dit wordt waarschijnlijk gedaan om het slachtoffer twee keer het wachtwoord in te laten vullen, zodat de aanvallers weten dat ze het juiste wachtwoord hebben.

Voor het versturen van de phishingmails maken de aanvallers gebruik van gratis e-maildiensten, gecompromitteerde legitieme domeinen en zelf geregistreerde domeinnamen. Tijdens de campagne werden meer dan 350 unieke domeinen waargenomen. “Dit laat niet alleen de omvang van deze aanval zien, maar ook hoeveel de aanvallers erin investeren, wat een potentieel aanzienlijk rendement suggereert”, aldus Microsoft.

Lees hier verder. © Security.nl

84% Nederlanders ontvangt oplichtingsberichten op smartphone

84% van de Nederlanders ontvangt wel eens berichten van oplichters via e-mail, WhatsApp of sms. Ondanks deze confrontatie met (pogingen tot) internetoplichting, ervaart 61,4% van de Nederlanders hun smartphone als veilig. Dit en meer blijkt uit onderzoek van VPNGids.nl, dat via een enquête vroeg naar ervaringen met malafide berichten en digitale fraude.

Vooral malafide berichten van een telefoonprovider zorgen ervoor dat ontvangers met regelmaat op gevaarlijke links klikken (17,9%). Dit is minder vaak het geval bij sms’jes en e-mails van een bank (9,8%) of pakketbezorger (10,8%).
WhatsApp-fraude: 1 op de 10 malafide berichten maakt slachtoffer

Een misleidend WhatsApp-bericht van een zogenaamde zoon of dochter met een nieuw nummer die in geldnood zit, maakt in 10,3% van de gevallen de ontvanger daadwerkelijk een slachtoffer van digitale fraude.

Het ontvangen van een nep WhatsApp-bericht van een zogenaamde zoon of dochter lijkt haast op specifieke doelgroepen gericht. Onder 50-plussers geeft 22,2% aan wel eens zo’n bericht te ontvangen, terwijl dit bij jongere Nederlanders slechts voor 9,5% geldt.

Nederlanders vertrouwen op gezond verstand
Om te voorkomen dat smartphonegebruikers slachtoffer worden van phishing-praktijken, heeft slechts 1 op de 3 smartphonebezitters een antivirus-app geïnstalleerd. De meeste Nederlanders vertrouwen vooral op gezond verstand: 80% klikt nooit op een verdachte link en opent geen onbetrouwbare mails.

David Janssen, cyber security analist bij VPNGids.nl, ziet daarin een gevaar ontstaan: “Het is natuurlijk goed dat men niet klikt op een verdachte link of e-mail, maar daarin schuilt ook meteen een gevaar. Want wat als je een sms krijgt over een pakketje, precies wanneer je een pakketje verwacht? Het is ontzettend belangrijk om jezelf te informeren over hoe bedrijven hun communicatie met klanten aanpakken en nieuwe vormen van digitale fraude te blijven herkennen”.

© Emerce

20 procent personeel Hogeschool Rotterdam opent link in test-phishingmail

Twintig procent van de medewerkers van de Hogeschool Rotterdam heeft bij een recente oefening de link in een test-phishingmail geopend, zo heeft de onderwijsinstelling bekendgemaakt. Vier jaar geleden trapte nog 25 procent van het personeel in de “phishingmail”.

De nu gebruikte e-mail had als onderwerp “Je account is geblokkeerd”. Volgens het bericht was het webmailaccount van de ontvanger wegens de detectie van “ongeautoriseerde apparaten” geblokkeerd. Door het account te “verifiëren” kon het weer worden ontgrendeld. De link waardoor dit kon wees naar een actiepagina die medewerkers over de test informeerde en uitlegde hoe phishingberichten zijn te herkennen. Van de bijna vijfduizend medewerkers openden er iets meer dan duizend de link.

Ook werd via de test gekeken hoe snel medewerkers op verdachte berichten reageren. “De eerste twee uur zijn cruciaal na een aanval. Hoe sneller er kan worden gereageerd, hoe beter”, aldus de Hogeschool Rotterdam. Zo’n zeshonderd medewerkers rapporteerden de phishingmail bij de abuse-afdeling van de onderwijsinstelling. Vijftig procent meer dan vier jaar geleden. “Binnen drie minuten deed een docent van RAc de eerste melding via de juiste route. Zo’n snelle reactie kan de hogeschool redden van een groot probleem!”, zegt Security Officer Jeffry Sleddens.

De hogeschool gaat het komende jaar meerdere acties doen om medewerkers en studenten van privacy en security bewust te maken. Voorlopig zal er geen test-phishingmail meer worden ingezet.

Lees hier verder. © Security.nl

© MeT-Groep