Onderzoek van Flare toont hoe aanvallers containerplatformen inzetten om op grote schaal valse aanmeldpagina’s te draaien en geavanceerde phishing-aanvallen op te zetten.
Phishing evolueert van losse, snel opgezette websites naar professioneel beheerde platformen die draaien op moderne cloudtechnologie. Dat stelt het Canadese Flare vast in een rapport. Flare is een cybersecuritybedrijf dat organisaties helpt om externe dreigingen en blootstellingen (zoals gelekte inloggegevens, gestolen accounts en misbruik van merknamen) te detecteren door continu bronnen op het open web én in cybercriminele netwerken te monitoren. Het rapport komt voort uit die expertise.
Meer dan een wachtwoord stelen
Phishing draaide lang rond één doel: iemand overtuigen om een wachtwoord in te geven op een nagemaakte pagina. In het rapport beschrijft Flare hoe die aanpak verschuift naar systemen die niet alleen wachtwoorden proberen te vangen, maar vooral actieve aanmeldsessies willen kapen. Met andere woorden: zelfs wie extra beveiliging gebruikt, kan alsnog slachtoffer worden wanneer aanvallers de lopende sessie weten over te nemen.
Ter ondersteuning van die aanpak ziet Flare Research hoe phishing-infrastructuur cloud native wordt. Omdat aanvallers dezelfde voordelen zoeken als legitieme IT-teams: snelheid, schaalbaarheid en herhaalbaarheid.
lees ook
Nieuwe phishingtactiek maakt gebruik van webformulieren op bedrijfswebsites
De complexiteit achter de infrastructuur wordt bovendien weggehouden van criminele eindgebruikers. Die kunnen phishing-diensten ‘as-a-Service’-consumeren. Dat is op zich geen nieuwe evolutie: het dreigingslandschap evolueert al langer richting businessmodellen die de legitieme wereld weerspiegelen.
Van forum naar Kubernetes-cluster
De onderzoekers van Flare startten hun onderzoek vanuit advertenties op een Russischtalig forum waar kant-en-klare phishingdiensten worden aangeboden. Van daaruit volgen de onderzoekers sporen naar infrastructuur die niet aanvoelt als een verzameling losse servers, maar als een centraal uitgerold platform dat op grote schaal kan worden beheerd.
De onderzoekers verwijzen in hun rapport naar een grote campagne rond nagemaakte Microsoft 365-aanmeldingen. Flare identificeert meer dan honderd systemen die sterk op elkaar lijken en die sporen dragen van een moderne opzet met containers en beheersoftware die typisch is voor cloudomgevingen. Zo’n aanpak maakt het eenvoudig om snel nieuwe kopieën van dezelfde phishingomgeving te lanceren en even snel weer te verplaatsen wanneer een deel wordt ontdekt. Op die manier ondersteunt de Kubernetes-technologie geacanceerde Phishing-as-a-Service.
Beter verborgen
Daarbij komt dat de phishingpagina’s ontworpen zijn om controle te ontwijken: bij een eerste bezoek blijft de pagina soms leeg, en pas later verschijnt de valse aanmelding. Ook ziet Flare dezelfde digitale “handtekeningen” terugkeren over veel systemen heen, wat wijst op hergebruik van vaste sjablonen.
Met het onderzoek wil Flare vooral aantonen dat phishing-infrastructuur mee-evolueert. Naarmate beveiliging verbetert, onder andere via MFA, moeten aanvallers andere complexe aanvalstechnieken ontwikkelen. Daarbij maken ze ook gebruik van de mogelijkheden van moderne infrastructuur.