Overslaan en naar de inhoud gaan

Phishers kijken kunst af van securityprofessionals

Een massale phishingcampagne gericht op betaalgegevens van Nederlanders blijkt een voorheen ongeziene methode te gebruiken om de 'doelgroep' gericht te grazen te nemen. Hierdoor is de levensduur van de gebruikte phishingsites ook een stuk langer dan normaal. Cybercriminelen hebben hun aanpak hiervoor afgekeken van securityprofessionals.
Hackers Nederland

Deze grootschalige, op Nederland gerichte phishingsactie en de daarbij benutte methode wordt belicht door Group-IB. Onderzoekers van die securityleverancier hebben de cybercriminele campagne de naam RUNLIR gegeven, vanwege het gebruik van Russische (RU), Nederlandse (NL) en Iraanse (IR) domeinnamen. Het netwerk van gebruikte nepwebsites voor het phishen van inloggegevens voor bijvoorbeeld banken omvat ruim 750 aangesloten domeinen. Deze weigeren echter toegang als bezoekers geen Nederlanders zijn.

Geotracking

Het CERT (Computer Emergency Response Team) van Group-IB (CERT-GIB) heeft namelijk gezien dat de cybercriminelen een combinatie van geavanceerde middelen gebruiken om echte consumenten, en dan specifiek Nederlanders, op de korrel te nemen. Hiervoor wordt gecontroleerd of een potentieel slachtoffer wel vanaf een Nederlands mobiel netwerk komt. Dergelijke geotracking wordt door securityprofessionals benut om te controleren of gebruikers/bezoekers wel uit een verwachte regio komen. Als een Nederlandse werknemer ineens lijkt in te loggen vanuit China, kan dat een teken van accountkaping zijn.

Naast geotracking gebruiken de RUNLIR-phishers de antibotdienst BlackTDS voor detectie van geautomatiseerde bezoeken, van bijvoorbeeld scannende security-onderzoekers en CERT's. Ook gebruiken de phishers verschillende versies van de uAdmin-phishingkit, waarmee ze live hun phishingsites kunnen aanpassen. Tot slot draaien ze hun eigen infrastructuur bij de beruchte bulletproof-hostingdienst Yalishanda.

Zes dagen ipv 24 uur

Deze aanpak zorgt ervoor dat de cybercriminelen hierachter doelgroepgericht werken en daarbij beveiligingsexperts grotendeels weten buiten te sluiten. Als gevolg daarvan behalen ze ook een opvallend grote vergroting van de levensduur van hun netwerk aan phishingsites. Gemiddelde gaat een phishingpagina ongeveer 24 uur mee, stelt Group-IB. Dan wordt het ontdekt, geïndexeerd, geblokkeerd, soms opgeschoond en soms opgegeven door de phishers. De pagina's die worden gebruikt bij deze nieuwe aanpak hebben een gemiddelde levensduur van zes dagen.

Deze combinatie van middelen die deze phishers gebruiken om beveiligingscontroles te omzeilen, is uniek voor Nederland, zo laat Group-IB weten aan AG Connect. De op Nederlanders gerichte campagne loopt al sinds maart dit jaar, nonstop; het is tot op heden niet stopgezet. Wel doen securitybedrijven zoals Group-IB nu aan filtering en afweer van deze sluwe methode van cybercriminelen.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in