BulletProofLink: waar alle phishing-spam vandaan komt


Waarom is er zoveel spam? Iedereen zal zich deze vraag wel eens gefrustreerd hebben gesteld. De meeste e-mailspam is immers relatief onschadelijk en verspilt meestal alleen maar de tijd van de e-mailgebruiker. Een klein deel van het dagelijkse persoonlijke spamvolume is echter bijzonder gevaarlijk: phishing-e-mails. Helaas neemt ook deze vorm van spam toe, niet in de laatste plaats in het kielzog van de door pandemie veroorzaakte digitaliseringsgolf bij bedrijven en administratie. We regelen steeds meer dingen in ons dagelijks leven via e-mail en daar willen criminelen ook gebruik van maken. Microsoft heeft nu een grootschalige phishing-campagne ontdekt die interessante inzichten biedt in waarom phishing-spam toeneemt.

Phishing is de term die wordt gebruikt om het verzenden van e-mails door criminelen te beschrijven die bedrieglijk veel lijken op legitieme e-mails van echte bedrijven. De e-mails bevatten links naar vergelijkbare, min of meer goed gemaakte vervalsingen van de respectievelijke bedrijfswebsite, die het slachtoffer vragen om hun inloggegevens in te voeren – deze worden vervolgens onmiddellijk doorgestuurd naar de criminelen. Hierdoor krijgen hackers toegang tot allerlei online accounts. Deze toegang kan worden gebruikt voor criminele activiteiten of de toegangsgegevens worden verkocht.

In een dinsdag gepubliceerd onderzoek Microsoft-beveiligingsonderzoekers beschrijven hoe ze zich richtten op een phishing-e-mailcampagne die snel meer dan 300.000 verschillende subdomeinen opzette om potentiële slachtoffers te lokken. De breinen achter de frauduleuze e-mails gebruiken meer dan 100 e-mailsjablonen, waarvan sommige echte e-mails van bedrijven en merken op een bedrieglijk reële manier simuleren. Microsoft ontdekte een phishing-as-a-service-infrastructuur die door zijn criminele operators wordt verhuurd aan andere criminelen – voor eenmalig gebruik met een e-mailcampagne of als een maandelijks abonnementsmodel.

De meesterbreinen promoten en verkopen hun kant-en-klare phishing-service onder de namen BulletProofLink en Anthrax. Volgens Microsoft is de dienst verantwoordelijk voor veel van de phishing-campagnes waar grote bedrijven de laatste tijd mee worstelen. De operators winnen vaak twee keer: enerzijds krijgen ze de gebruiksvergoedingen van hun criminele klanten, anderzijds krijgen ze vaak ook toegang tot de toegangsgegevens die werden gestolen. Microsoft noemt deze tactiek, waarbij de online accounts van de slachtoffers twee keer worden geplunderd, “Double Theft”.

Microsoft beschrijft in haar onderzoek een complete ondergrondse phisher-industrie. Criminelen die voor het eerst toegang willen hebben tot gegevens zonder enige ervaring op dit gebied, kunnen ofwel een full-service service gebruiken zoals BulletProofLink, die hen alles biedt, van het verzenden van e-mails tot het opzetten van bedrieglijk echte phishing-websites in geschikte bedrijven. verwijderd, of u kunt eenvoudige phishing-kits downloaden waarbij u alleen de e-mail- en websitesjablonen krijgt en de rest van het werk zelf moet doen.

De scene heeft zijn eigen marketingtermen, zoals “FUD”, dwz “Volledig niet-gedetecteerde links” (in het Duits: volledig niet-gedetecteerde links). Dit is bedoeld om kopers van de service te verzekeren dat de e-mails daadwerkelijk door het spamfilter van het slachtoffer gaan en dat eventuele aanwezige beschermende software de links niet als kwaadaardig blokkeert en zo een succesvolle phishing-aanval voorkomt. Het geheel doet denken aan grote ransomware-groepen die hun criminele machinaties op dezelfde manier hebben geprofessionaliseerd.

BulletProofLink wordt geadverteerd op YouTube en de meesterbreinen exploiteren een handige online winkel waar geïnteresseerde criminelen de spamservice snel en gemakkelijk kunnen boeken en betalen. Nieuwe klanten krijgen 10 procent korting. De service wordt meestal betaald in Bitcoin en een maandelijks abonnement op full-service phishing-spam kost tot $ 800. Individuele spamsjablonen die een phishing-website hosten, beginnen bij $ 50. Klantenondersteuning is meestal inbegrepen en vindt plaats via chatberichten, VoIP-gesprekken en forums. Hulp is zelfs mogelijk via ICQ. Als Microsoft moet geloven, werkt deze ondersteuning waarschijnlijk beter dan de meeste internet- of mobiele telefoonaanbieders.

De exploitanten van de phishing-infrastructuur waren het doelwit van Microsoft omdat ze honderdduizenden subdomeinen voor een legitiem bedrijfsdomein creëerden als onderdeel van een campagne, die – vermoedelijk via een verkeerde DNS-configuratie – op zijn minst gedeeltelijk door de aanvallers konden worden gekaapt. De aanvallers kunnen elk slachtoffer een aparte link sturen, wat het voor e-maildiensten zoals Microsoft moeilijk maakt om de spam louter op basis van een link blacklist te onderscheppen. De aanvallers gebruiken een aantal trucs zoals onzichtbare tekens in de tekst, gecodeerde gegevens en subtiele manipulaties van bedrijfslogo’s en merkelementen om geautomatiseerde detectie te voorkomen.

De exploitanten van BulletProofLink zijn nog steeds in bedrijf, dus het is Microsoft duidelijk niet gelukt om de infrastructuur van de criminelen tijdens het onderzoek te verstoren of zelfs maar te verlammen.

Het Microsoft-rapport is de moeite waard om in detail te lezen, omdat het enkele trucs van de phishing-boeven in detail onthult. Het is echter ook beangstigend om te lezen hoe gemakkelijk het lijkt om in de ogenschijnlijk lucratieve phishing-business te komen. Phishing-as-a-service-platforms zoals de BulletProofLink-operatie die door Microsoft wordt beschreven, stellen zelfs complete nieuwkomers zonder voorkennis in staat om snel in de zaken te komen van gestolen gebruikersgegevens. Geen wonder dat de phishing-spam in onze inbox nooit stopt!


(fantastisch)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: