Let op voor advertenties die je in de Google-zoekresultaten ziet voor wachtwoordmanagers. Dit kunnen valse landingspagina’s zijn die je inloggegevens proberen te bekomen.
Wachtwoordmanagers zijn de jackpot voor cybercriminelen. Omdat we geïndoctrineerd zijn om voor elk account een apart sterk wachtwoord te bedenken, maken veel internetgebruikers gebruik van wachtwoordmanagers om die verschillende wachtwoorden te onthouden. Hackers die in je wachtwoordkluis binnenbreken, hebben dus meteen al je wachtwoorden te pakken. Na incidenten bij LastPass en Norton komt nu Bitwarden in het vizier van criminelen te liggen.
Met valse advertenties proberen hackers inloggegevens voor de wachtwoordmanager van Bitwarden te bekomen. De werkwijze illustreert hoe vernuftig phishingcampagnes vandaag de dag zijn. Eerst en vooral sloegen de advertenties erin om de algoritmen van Google te misleiden. De phishingadvertenties verschijnen bovenaan de zoekresultaten bij zoektermen als bitwarden password manager.
Exacte kopie
Ook de landingspagina die de hackers ontwikkeleden zijn genoeg identiek aan de authentieke loginpagina van Bitwarden. Screenshots gedeeld op Reddit tonen de onmiskenbare overeenkomsten. De enige clue die je als slachtoffer hebt om te weten dat er iets niet pluis is, is de pagina-URL.
De advertenties bevatten een domeinnaam appbitwarden.com die doorverwijst bitwardenlogin.com. Deze domeinnaam oogt realistisch, maar niet stemt niet overeen met de enige correcte URL vault.bitwarden.com.
In het midden
De bijna identiek nagemaakte landingspagina’s zouden al veel onoplettende gebruikers in de val kunnen lokken. Maar daar stopt het niet. Geef je je inloggegevens in, dan verwijst de valse pagina je door naar de echte loginpagina van Bitwarden. Dit moet het allemaal nog geloofwaardiger doen lijken.
Deze vrij nieuwe phishingtechniek heet adversary in the middle (AiTM) en is een truc die hackers toepassen om voorbij MFA te geraken. Op het moment dat de valse pagina je doorverwijst naar de legitieme pagina, laten de aanvallers een cookie achter. Dit stukje code verzamelt de MFA-token waarmee je je inlogt. Die kunnen de aanvallers nadien dan zelf gebruiken. Deze techniek wordt onder meer gebruikt om bij Microsoft 365-bedrijfsaccounts binnen te breken.
lees ook
Microsoft: “Hackers slaan er steeds vaker in om MFA te omzeilen”
Let op de URL
Inmiddels lijkt Google de valse advertenties voor Bitwarden te hebben verwijderd. Met dezelfde zoekopdracht kregen wij de advertenties niet meer te zien. BleepingComputer schrijft dat gelijkaardige advertenties ook rondgaan voor 1Password. Vermoedelijk lopen zo dus nog andere wachtwoordmanagers risico.
We raden je aan om de correcte URL van je wachtwoordmanager te memoriseren en na te kijken zodat je je niet kan vergissen. De gevolgen kunnen immers niet meer te herstellen zijn.