Phishing blijft een zeer gevaarlijke online dreiging, omdat dreigingsactoren volhardend zijn in het verbeteren van hun methoden. Een van de laatste succesvolle phishing campagnes werd onlangs ontdekt door Akamai Security Research. Het team "heeft een nieuwe en zeer geavanceerde phishing-kit waargenomen" die voorafgaand aan de feestdagen een aantal populaire retailmerken imiteert.
De hoge slagingspercentages van de phishing-kit zijn te danken aan een combinatie van ontwijkingstechnieken en social engineering-trucs. Een van de opvallende aspecten van de kit is een op tokens gebaseerd systeem dat bevestigt dat elk slachtoffer wordt omgeleid naar een unieke phishing-URL. Bovendien, de bedreigingsactor gebruikt URL-verkorters, valse gebruikersprofielen en getuigenissen, en zelfs een CDN om de veerkracht van de infrastructuur te bereiken.
Nepklanten en getuigenissen van gebruikers
De onderzoekers voerden een gedetailleerde analyse uit van de valse klantprofielen. Een bepaalde valse gebruiker, Nathalie Hamilton, werd gerecycled met kleine aanpassingen in de verschillende zwendelsjablonen. De reacties op de prijsrecensie waren ook aangepast, op het eerste gezicht legitiem lijken. Wat de zwendel verraadde, is de sterke gelijkenis van de opmerkingen over de prijsaanbiedingen, die nog steeds onopgemerkt zou blijven door een gemiddelde online gebruiker.
URI-fragmentatie
URI-fragmentatie is een ander interessant kenmerk van de kit, en een nieuwe ontwijkingstechniek. Waar gaat het over?
“De URL-fragment-ID is een hekje (#), ook wel bekend als HTML-anker, in de URI-link die een browser naar een specifieke plek op een pagina of website verwijst. Dit is een techniek die vaak wordt gebruikt in inhoudsopgaven of andere categoriseringslijsten voor een betere gebruikerservaring. De waarden na het HTML-anker worden niet beschouwd als HTTP-parameters en worden niet naar de server verzonden, toch is deze waarde toegankelijk via JavaScript-code die in de browser van het slachtoffer wordt uitgevoerd. In het kader van een phishing-scam, de waarde die na het HTML-anker wordt geplaatst, kan worden genegeerd of over het hoofd worden gezien wanneer deze wordt gescand door beveiligingsproducten die verifiëren of deze kwaadaardig is of niet. Deze waarde wordt ook gemist als deze wordt bekeken door een verkeersinspectietool,”De onderzoekers uitgelegd.
Wat is de conclusie van de onderzoekers? Deze phishing-kit bewijst waarom phishing-aanvallen zo succesvol blijven. Dreigingsactoren zijn goed bekend met mitigatie, social engineering, en verschillende tactieken die detectie bijna onmogelijk maken. “Deze blogpost is geen opgraving van een beveiligingsproduct of de effectiviteit van een leverancier, maar laat zien hoe zelfs meerdere verdedigingslagen kunnen worden uitgehold om een kwaadaardig doel te bereiken.," het team gesloten.
Een ander voorbeeld van een succesvolle phishing-as-a-service-kit werd in september ontdekt. Gebeld EvilProxy, het platform is gespecialiseerd in reverse proxy phishing-campagnes om MFA te omzeilen [multi-factor authenticatie] mechanismen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: