Hier vindt u een klein voorbeeld van populaire phishing-e-mails die we in de loop der jaren hebben gezien. Zoals u kunt zien, zijn er veel verschillende benaderingen die cybercriminelen zullen kiezen en ze zijn altijd in ontwikkeling.
Hoewel het vrijwel onmogelijk is om een actueel en volledig archief van deze voorbeelden bij te houden, is het een heel goed idee om op de hoogte te blijven van wat er allemaal is om phishing-aanvallen minder waarschijnlijk te maken.
Klassieke phishing-e-mails
Zwendel met technische ondersteuning
De afgelopen jaren hebben online serviceproviders hun beveiliging verbeterd door klanten berichten te sturen wanneer ze ongebruikelijke of zorgwekkende activiteiten op de accounts van hun gebruikers detecteren. Het is geen verrassing dat de slechteriken dit in hun voordeel gebruiken. Vele zijn slecht ontworpen met slechte grammatica, enz., maar andere zien er legitiem genoeg uit om te worden aangeklikt als niet goed wordt opgelet:
Zie bijvoorbeeld deze nep Paypal beveiligingsmededeling die potentiële gebruikers waarschuwt voor “ongebruikelijke inlogactiviteiten” op hun rekeningen:
Beweeg de muis over de links om te voorkomen dat je op een website terechtkomt waar je inloggegevens worden gestolen.
En hier is een nepbericht van Microsoft, dat er bijna identiek uitziet als een echt bericht van Microsoft over “Ongebruikelijke aanmeldingsactiviteiten”:
Deze e-mail wijst gebruikers naar een nep 1-800 nummer in plaats van gebruikers naar een phishing-website te leiden waar de inloggegevens worden gestolen.
Infectieuze bijlagen
De verborgen gevaren van .HTML-bijlagen
Malicieuze .HTML-bijlagen worden niet zo vaak gezien als bijlagen met .JS- of .DOC-bestanden, maar ze zijn om een paar redenen gewenst. Ten eerste is de kans op detectie door antivirussoftware klein omdat .HTML-bestanden niet vaak in verband worden gebracht met aanvallen via e-mail. Ten tweede worden .HTML-bijlagen vaak gebruikt door banken en andere financiële instellingen, dus mensen zijn eraan gewend om ze in hun inbox te zien. Hier volgen een paar voorbeelden van phishings met referenties die we met deze aanvalsvector hebben gezien:
Macro’s met payloads
Malleidende macro’s in phishing-e-mails zijn het afgelopen jaar een steeds gangbaardere manier geworden om ransomware af te leveren. Ook deze documenten komen vaak probleemloos langs antivirusprogramma’s. De phishing emails bevatten een gevoel van urgentie voor de ontvanger en zoals je in de onderstaande schermafbeelding kunt zien, leiden de documenten gebruikers door het proces. Als gebruikers er niet in slagen de macro’s in te schakelen, is de aanval niet succesvol.
Social Media Exploits
Kwaadaardige Facebook-berichten
Sommige Facebook-gebruikers ontvingen berichten in hun Messenger-accounts van andere gebruikers die ze al kenden. Het bericht bestond uit een enkel .SVG-afbeeldingsbestand (Scaleable Vector Graphic) dat met name het bestandsextensiefilter van Facebook omzeilde. Gebruikers die op het bestand klikten om het te openen, werden omgeleid naar een vervalste Youtube-pagina die gebruikers vroeg twee Chrome-extensies te installeren die nodig zouden zijn om de (niet-bestaande) video op de pagina te bekijken.
Voor de meeste gebruikers werden de twee Chrome-extensies gebruikt om de malware een beperkte mate van zelfverspreiding te geven door gebruik te maken van de “toegang van de browser tot uw Facebook-account om stiekem al uw Facebook-vrienden een bericht te sturen met hetzelfde SVG-afbeeldingsbestand.”
Op de pc’s van sommige gebruikers werd Nemucod, een trojaanse downloader met een lange geschiedenis in het downloaden van een breed scala aan schadelijke payloads, ook gedownload en gelanceerd door de embedded Javascript. Gebruikers die de pech hadden deze versie van het schadelijke script tegen te komen, zagen hun pc’s gegijzeld worden door Locky ransomware.
LinkedIn phishing-aanvallen
LinkedIn is al een aantal jaren het doelwit van online oplichting en phishing-aanvallen, voornamelijk vanwege de schat aan gegevens die het biedt over werknemers van bedrijven. Kwaadwillenden gebruiken die gegevens om potentiële doelwitten te vinden voor aanvallen om e-mail van bedrijven te compromitteren, waaronder oplichting via overschrijving en W-2 social engineering, maar ook een aantal andere creatieve trucs. Hier zijn enkele voorbeelden die we hebben gezien via KnowBe4’s Phish Alert Button:
In één geval meldde een gebruiker een standaard Wells Fargo login phish te hebben ontvangen via LinkedIn’s InMail:
Merk op dat deze specifieke InMail afkomstig lijkt te zijn van een nep Wells Fargo account. De bijgeleverde link leidt naar een vrij typische “credentials phish” (gehost op een kwaadaardig domein dat inmiddels is opgeheven):
Het lijkt erop dat de slechteriken een nep Wells Fargo profiel hebben opgezet in een poging authentieker over te komen.
Een andere soortgelijke phish werd via een e-mailaccount buiten LinkedIn afgeleverd:
Deze e-mail werd via LinkedIn afgeleverd, net als de URL’s die zijn gebruikt voor de verschillende links in de voettekst van deze e-mail (“Reply”, “Not interested”, “View Wells’s LinkedIn profile”):
Die URL’s zijn duidelijk automatisch gegenereerd door LinkedIn zelf toen de kwaadwillenden de berichtenfuncties van LinkedIn gebruikten om deze phish te genereren, die terechtkwam op de externe e-mailaccount van het doelwit (in plaats van zijn InMail-box, zoals het geval was bij de eerste phish die hierboven is besproken).
CEO Fraud Scams
Hier volgt een voorbeeld van een KnowBe4-klant die het doelwit was van CEO-fraude. De medewerker reageerde in eerste instantie, maar herinnerde zich toen haar training en meldde in plaats daarvan de e-mail met behulp van de Phish Alert Button, waardoor haar IT-afdeling werd geattendeerd op de fraudepoging.
Toen de werknemer de overschrijving niet uitvoerde, kreeg ze een andere e-mail van de slechteriken, die waarschijnlijk dachten dat het betaaldag was:
Top-geklikte onderwerpen van phishing-e-mails
KnowBe4 rapporteert elk kwartaal over de top-geklikte phishing-e-mails per onderwerpregel in drie verschillende categorieën: onderwerpen gerelateerd aan sociale media, algemene onderwerpen, en ‘In het Wild’ – die resultaten worden verzameld van de miljoenen gebruikers die op hun Phish Alert Button klikken om echte phishing e-mails te melden en ons team in staat stellen de resultaten te analyseren. U kunt de resultaten van het meest recente kwartaal plus alle voorgaande kwartalen vinden op KnowBe4.
Gerelateerde pagina’s: Phishing-technieken, veelvoorkomende phishing-zwendel, wat is phishing