Google en Yahoo zijn gericht op nieuwe phishing-aanvallen die in staat zijn om two-factor authenticatie te omzeilen zijn (2FA). Beveiligde e-mail diensten zijn ook het slachtoffer van deze aanvallen als ze met succes kunnen worden aangetast, onderzoekers zei in een rapport van Amnesty International. Het lijkt erop dat aanvallers maken gebruik van verschillende methoden om te infiltreren accounts van gebruikers die uit het Midden-Oosten en Noord-Afrika.
Tricky Phishing Campagnes Bypass 2FA
De onderzoekers zijn van mening dat alle campagnes door dezelfde groep die zich richt Human Rights Defenders worden uitgevoerd (mensenrechtenverdedigers). Een van de campagnes is gericht op honderden Google en Yahoo-accounts, en heeft geleid tot de succesvolle bypass van voorkomende vormen van 2FA. Deze campagne is actief in 2017 en 2018, zoals blijkt uit kopieën van phishingmails in de bovengenoemde gebieden mensenrechtenverdedigers en journalist verzonden.
Amnesty International verkregen deze kopieën en onderzocht hen, en ontdekte dat de meeste beoogde gebruikers waren afkomstig uit de Verenigde Arabische Emiraten, Jemen, Palestina en Egypte. De phishing e-mail verspreid in deze campagne gebruik gemaakt van een speciaal vervaardigde “security alert” dat de doelstellingen misleid in het bezoeken van kwaadaardige domeinen die werden gemaakt om te kijken als Google en Yahoo. Wat opvalt in deze phishing-operatie is de methode die wordt gebruikt om te omzeilen 2FA, en het registreren van domeinen opmerkelijk veel lijken op de oorspronkelijke, legitieme diensten.
Deze nep-sites ook transport encryptie te gebruiken. Dit maakt het mogelijk de welbekende hangslot aan de linkerkant van de adresbalk van uw browser, die gebruikers hebben door de jaren heen vaak onderwezen te zoeken bij een poging om onderscheid te maken tussen legitieme en kwaadaardige websites, aldus Amnesty International.
Amnesty International heeft ook verscheidene goed gemaakte phishing-sites voor de populaire e-maildiensten Tutanota en ProtonMail. Deze e-mail service providers worden verkocht als “veilige e-mail” oplossingen en hebben daarom opgedaan sommige tractie onder activisten, dus de phishing-campagnes tegen hen zijn inderdaad gevaarlijk.
Deze sites bevatten verschillende elementen die hen bijzonder moeilijk om targets te identificeren als vervalsingen te maken. Bijvoorbeeld, de aanvallers erin geslaagd om het domein tutanota.org verkrijgen en gebruikte het om de originele website van de Tutanota dienst bijna volledig te repliceren, die eigenlijk is gelegen op tutanota.com, aldus de onderzoekers in hun rapport.