Onderzoekers van Barracuda hebben in januari meerdere e-maildreigingen geanalyseerd die zich richten op medewerkers binnen organisaties. De campagnes combineren technische omzeiling met klassieke social engineering en maken gebruik van vertrouwde platforms en nauwelijks zichtbare trucjes.
In de nieuwste editie van de Email Threat Radar beschrijft Barracuda vier aanvalsvormen die de afgelopen maand zijn waargenomen. Opvallend is dat de aanvallen vaak niet leunen op malware, maar op misleiding en het ontwijken van automatische detectie.
Een van de onderzochte campagnes maakt gebruik van de Tycoon phishing kit, waarbij QR-codes niet als afbeelding worden meegestuurd, maar volledig zijn opgebouwd uit HTML-tabelcellen. Voor de ontvanger oogt dit als een normale QR-code, maar voor veel e-mailsecurity-oplossingen ontbreekt een scanbaar afbeeldingsbestand of een herkenbare link. De phishingmail bevat doorgaans alleen een korte instructie om de QR-code te scannen met een mobiel apparaat. Na het scannen wordt de gebruiker doorgestuurd naar een phishingpagina die is opgezet via het Tycoon phishing-as-a-service-platform. Doordat traditionele analysetechnieken hier weinig houvast hebben, kunnen deze mails filters passeren die normale QR-codes wel blokkeren.
Daarnaast signaleren de onderzoekers een toename van callback-phishing via Microsoft Teams. In deze campagnes voegen aanvallers doelwitten toe aan Teams-groepen met namen die urgentie suggereren. Binnen die groepen verschijnen berichten die lijken op facturen, meldingen over verlengingen of waarschuwingen over ongeautoriseerde kosten. De ontvanger krijgt het dringende verzoek om een telefoonnummer te bellen om verdere schade te voorkomen. De nummers komen uit bij de aanvallers, die tijdens het gesprek proberen inloggegevens, betaalinformatie of andere gevoelige data te verzamelen. Omdat het contact plaatsvindt via een vertrouwd samenwerkingsplatform en vooral inzet op tijdsdruk en emotie, blijven deze aanvallen vaak buiten beeld van klassieke e-mailfilters.
Een derde campagne richt zich op Facebook-gebruikers en speelt in op angst voor juridische gevolgen. Slachtoffers ontvangen e-mails met waarschuwingen over vermeende auteursrechtenschendingen. De berichten zijn vormgegeven als officiële meldingen en bevatten een link naar details over de inbreuk. Die link leidt naar een phishingpagina waar de gebruiker wordt gevraagd in te loggen op Facebook. Het inlogscherm verschijnt in wat lijkt op een normaal browservenster, maar blijkt een statische nagemaakte pagina te zijn. Alle ingevoerde gegevens worden direct onderschept.
Tot slot beschrijft Barracuda een techniek waarbij aanvallers gebruikmaken van het wetenschappelijke ‘division slash’-teken ∕ in plaats van de gebruikelijke forward slash /. Het verschil is visueel nauwelijks waarneembaar, maar kan ervoor zorgen dat securityfilters een URL niet correct parseren of analyseren. Daardoor kunnen links ongemerkt langs detectiemechanismen komen. Na het aanklikken worden slachtoffers doorgestuurd naar onverwachte pagina’s of naar onderdelen van een bredere aanvalsketen.
De onderzochte campagnes laten zien dat aanvallers steeds vaker kiezen voor subtiele variaties en misbruik van vertrouwde communicatiekanalen. Daarbij verschuift de nadruk verder van technische exploits naar het slim omzeilen van detectie en het uitbuiten van menselijk gedrag.
