.



Nieuwe phishingaanval gericht op Gmail-gebruikers opgedoken

Een nieuwe phishingaanval gericht op Gmail-gebruikers is opgedoken. Beveiligingsonderzoekers waarschuwen dat de aanval vakkundig is opgezet, zeer geloofwaardig overkomt en ook technisch georiënteerde gebruikers om de tuin kan leiden.

Wordfence trekt aan de bel over de nieuwe phishingaanval, waarbij aanvallers gericht doelwitten aanvallen. Wordfence is het bedrijf achter de gelijknamige WordPress beveiligingsplugin. De aanval start vanaf een gekraakt Gmail-account. In de ontvangen berichten van dit account zoeken de aanvallers naar een recent verzonden e-mail met een bijlage die vanaf een Gmail-account is verstuurd. Vervolgens maken de aanvallers een screenshot van deze bijlage en sturen deze afbeelding als bijlage in een reactie naar de verzender van de e-mail. Hierbij wordt bewust dezelfde of een nagenoeg gelijke onderwerpregel gebruikt, zodat deze herkent wordt door de ontvanger en minder wantrouwen wekt.

Inlogpagina

Door deze actie wordt de screenshot weergegeven als afbeelding in de e-mail en lijkt op het eerste oog een legitieme bijlage te zijn aan het bericht. Zodra de ontvanger de bijlage echter probeert te openen wordt een nagemaakte inlogpagina van Gmail getoond en de gebruiker gevraagd opnieuw in te loggen. Wie dit doet stuurt zijn inloggegevens door naar de aanvallers.

Wordfence waarschuwt dat de phishingpagina een zeer goede kopie is van de inlogpagina van Google en hierdoor niet eenvoudig te herkennen is. De URL wijkt weliswaar af, maar bevat ‘accounts.google.com’ als subdomein. Dit is volgens Mark Maunders, CEO van het bedrijf, voldoende om veel gebruikers om de tuin te leiden. Hierbij wordt gebruikt gemaakt van een data URI, waarmee kleine databestanden kunnen worden opgenomen in een URL. Via deze data URI wordt de valse inlogpagina voor Google gegenereerd.

Contactpersonen van slachtoffers worden aangevallen

Zodra de gebruikers de inloggegevens van het slachtoffer in handen hebben wordt direct ingelogd op het account, waarna de cyclus opnieuw begint. De aanvallers doorzoeken recent ontvangen berichten van het slachtoffer, kiezen een e-mail met een bijlage en versturen een phishingmail naar de verzender van deze e-mail.

Wordfence adviseert gebruikers altijd waakzaam te zijn op afwijkende URL’s en URL’s volledig te controleren. De URL die gebruikers bij deze aanval krijgen voorgeschoteld bevat een grote hoeveelheid tekst, die wordt verborgen door deze tekst met veel witte ruimte te scheiden van de URL die gebruikers in hun URL zien. De tekst wordt dus wel getoond, maar staat simpelweg buiten beeld doordat een zeer lange URL wordt gebruikt. Daarnaast wijst het bedrijf op de tekst ‘data:text/html’ aan het begin van de URL. Dit stuk wordt door veel gebruikers over het hoofd gezien stelt Wordfence, aangezien zij vooral zoeken naar ‘https’.

De data URI die tijdens de aanval wordt getoond (bron: Wordfence)

 

De verborgen tekst in de data URI die tijdens de aanval wordt getoond (bron: Wordfence)

Meer over
Lees ook
KnowBe4 introduceert vier AI-gedreven security agents om AI-gegenereerde phishing te bestrijden en cyberrisico’s te meten

KnowBe4 introduceert vier AI-gedreven security agents om AI-gegenereerde phishing te bestrijden en cyberrisico’s te meten

KnowBe4, het cybersecurityplatform op het gebied van human risk management, introduceert een baanbrekende suite van AI-gedreven security agents: AIDA (Artificial Intelligence Defense Agents). Deze tools zijn ontworpen om het menselijke risicomanagement te automatiseren en verder te verbeteren.

Black Friday: een gewaarschuwd mens telt voor twee

Black Friday: een gewaarschuwd mens telt voor twee

De Black Friday shopgekte is weer van start. Dit is voor veel mensen de aftrap van het winkelseizoen voor de feestdagen. Consumentenorganisaties waarschuwen voor webshops, zoals Temu, in verband met mogelijke privacy schendingen.

Cybercriminelen doen zich voor als OpenAI in een grootschalige phishing aanval

Cybercriminelen doen zich voor als OpenAI in een grootschalige phishing aanval

Onderzoekers van Barracuda hebben een grootschalige OpenAI-imitatiecampagne ontdekt, gericht op bedrijven over de hele wereld. Daarbij deden de aanvallers zich voor als OpenAI – het bedrijf achter onder andere ChatGPT – in een urgent e-mailbericht waarin de ontvangers werd gevraagd om betalingsgegevens bij te werken voor een maandelijks abonnement.