Cybercriminelen blijven hun methodes verfijnen. Barracuda waarschuwt voor drie nieuwe phishingtechnieken die nog maar sinds januari gekend zijn.
Phishing is een beproefd recept waar cybercriminelen naar blijven grijpen om binnen te geraken in de IT-systemen van bedrijven. De technieken zijn wel voortdurend in verandering. Dat blijkt uit het meest recente Threat Spotlight-rapport van Barracuda Networks. De beveiligingsspecialist ontdekte in de maand januari drie nieuwe phishingtechnieken die nooit eerder gedetecteerd werden.
Google Translate
Een eerste techniek maakt gebruik van de Google Translate-service voor websites om schadelijke url’s te vermommen. De aanvallers gebruiken slecht gebouwde HTML-pagina’s of een niet-ondersteunde taal om te voorkomen dat Google de webpagina automatisch vertaalt.
Google reageert hierop met een melding die een link naar de webpagina bevat en waarin staat dat het de onderliggende website niet kan vertalen. Aanvallers voegen die URL-link in een e-mail en als een ontvanger erop klikt, wordt hij of zij naar een vervalste maar authentiek ogende website geleid, die in feite een phishing-website is die door de aanvallers wordt beheerd.
Deze aanvallen zijn moeilijk op te sporen omdat ze een URL bevatten die naar een legitieme website verwijst. Hierdoor laten veel mailfiltertechnologieën deze aanvallen toe tot de inbox van gebruikers. Bovendien kunnen de aanvallers de schadelijke lading veranderen op het moment dat de e-mail wordt afgeleverd, waardoor ze nog moeilijker op te sporen zijn.
Afbeeldingen zonder tekst
Phishingmails die afbeeldingen bevatten, zijn niet nieuw. Onderzoekers van Barracuda hebben ontdekt dat aanvallers steeds vaker afbeeldingen zonder tekst gebruiken. De afbeeldingen kunnen formulieren zijn zoals facturen en bevatten vaak een telefoonnummer dat bij opvolging leidt tot phishing.
Aangezien deze aanvallen geen tekst bevatten, kan het voor traditionele e-mailbeveiliging moeilijk zijn om ze te detecteren. De onderzoekers denken dat phishing met behulp van afbeeldingen in de toekomst steeds vaker ingezet zal worden cybercriminelen.
Speciale tekens
Hackers gebruiken vaak ‘zero-width’ spaties, interpunctie, of niet-Latijnse tekens om detectie te omzeilen. Deze tactiek wordt ook gebruikt bij ‘typo-squatting’ aanvallen via het webadres. Daarbij wordt de echte sitenaam nagebootst, maar dan met een kleine, onopvallende spelfout. Wanneer deze speciale tekens in een phishing-e-mail worden gebruikt, zijn deze niet zichtbaar voor de ontvanger.
De tactiek kan als volgt werken: een aanvaller voegt een zero-width toe in de schadelijke URL in een phishing-e-mail. Hierdoor wordt het URL-patroon doorbroken zodat securitytechnologieën deze niet als schadelijk detecteren. Detectie van dergelijke aanvallen kan ook moeilijk zijn omdat er legitieme doeleinden zijn voor het gebruik van speciale tekens, zoals in e-mailhandtekeningen.
Zeldzaam, maar weid verspreid
Omdat deze technieken nog nieuw zijn, komen ze voorlopig nog maar zelden voor. Elk van deze trucs was goed voor minder dan een procent van de phishingmails die Barracuda analyseerde. Toch is er reden voor de bezorgdheid, want tien tot vijftien procent zou al een dergelijke mail kunnen ontvangen hebben. Barracuda sluit niet uit dat deze technieken vaker zullen voorkomen.
Bovendien buiten deze technieken ook zwaktes in klassieke detectiemalware uit. Barracuda raadt aan om te investeren in e-maildetectiemiddelen die gebruik maken van AI om naast de inhoud ook de context, het onderwerp en de afzender van een bericht te analyseren.
Geraakt een mail toch door de spamfilters, dan is het zaak van de juiste tools te hebben om die zo snel mogelijk uit de inboxen, van het personeel te halen. Daarnaast moeten medewerkers voortdurend getraind worden om verdachte berichten te herkennen en te rapporteren.