Innovatie & Strategie

Security
hackers NL

Phishers kijken kunst af van securityprofessionals

Nederlanders scherp op de korrel genomen in grote phishingcampagne.

16 september 2021

Nederlanders scherp op de korrel genomen in grote phishingcampagne.

Een massale phishingcampagne gericht op betaalgegevens van Nederlanders blijkt een voorheen ongeziene methode te gebruiken om de 'doelgroep' gericht te grazen te nemen. Hierdoor is de levensduur van de gebruikte phishingsites ook een stuk langer dan normaal. Cybercriminelen hebben hun aanpak hiervoor afgekeken van securityprofessionals.

Deze grootschalige, op Nederland gerichte phishingsactie en de daarbij benutte methode wordt belicht door Group-IB. Onderzoekers van die securityleverancier hebben de cybercriminele campagne de naam RUNLIR gegeven, vanwege het gebruik van Russische (RU), Nederlandse (NL) en Iraanse (IR) domeinnamen. Het netwerk van gebruikte nepwebsites voor het phishen van inloggegevens voor bijvoorbeeld banken omvat ruim 750 aangesloten domeinen. Deze weigeren echter toegang als bezoekers geen Nederlanders zijn.

Geotracking

Het CERT (Computer Emergency Response Team) van Group-IB (CERT-GIB) heeft namelijk gezien dat de cybercriminelen een combinatie van geavanceerde middelen gebruiken om echte consumenten, en dan specifiek Nederlanders, op de korrel te nemen. Hiervoor wordt gecontroleerd of een potentieel slachtoffer wel vanaf een Nederlands mobiel netwerk komt. Dergelijke geotracking wordt door securityprofessionals benut om te controleren of gebruikers/bezoekers wel uit een verwachte regio komen. Als een Nederlandse werknemer ineens lijkt in te loggen vanuit China, kan dat een teken van accountkaping zijn.

Naast geotracking gebruiken de RUNLIR-phishers de antibotdienst BlackTDS voor detectie van geautomatiseerde bezoeken, van bijvoorbeeld scannende security-onderzoekers en CERT's. Ook gebruiken de phishers verschillende versies van de uAdmin-phishingkit, waarmee ze live hun phishingsites kunnen aanpassen. Tot slot draaien ze hun eigen infrastructuur bij de beruchte bulletproof-hostingdienst Yalishanda.

Zes dagen ipv 24 uur

Deze aanpak zorgt ervoor dat de cybercriminelen hierachter doelgroepgericht werken en daarbij beveiligingsexperts grotendeels weten buiten te sluiten. Als gevolg daarvan behalen ze ook een opvallend grote vergroting van de levensduur van hun netwerk aan phishingsites. Gemiddelde gaat een phishingpagina ongeveer 24 uur mee, stelt Group-IB. Dan wordt het ontdekt, geïndexeerd, geblokkeerd, soms opgeschoond en soms opgegeven door de phishers. De pagina's die worden gebruikt bij deze nieuwe aanpak hebben een gemiddelde levensduur van zes dagen.

Deze combinatie van middelen die deze phishers gebruiken om beveiligingscontroles te omzeilen, is uniek voor Nederland, zo laat Group-IB weten aan AG Connect. De op Nederlanders gerichte campagne loopt al sinds maart dit jaar, nonstop; het is tot op heden niet stopgezet. Wel doen securitybedrijven zoals Group-IB nu aan filtering en afweer van deze sluwe methode van cybercriminelen.

Lees meer over Innovatie & Strategie OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.