Phishing bij bedrijven onder het mom van prestatiebeoordelingen

oktober 15, 2019

In de jacht op inloggegevens van zakelijke accounts bedenken cybercriminelen nieuwe manieren om werknemers naar hun phishing-websites te lokken. Eerdere spam-campagnes gebruikten SharePoint-uitnodigingen en gesproken berichten als lokaas.

Onze experts ontdekten onlangs nog een phishing-methode waarbij criminelen het prestatiebeoordelingsproces van een bedrijf probeerden te imiteren. De aanval is tweeledig: ontvangers denken dat de beoordeling (a) verplicht is, en (b) kan leiden tot een salarisverhoging. Het is vermeldenswaardig dat binnen sommige bedrijven zulke beoordelingen inderdaad deel uitmaken van het salarisherzieningsproces en dat het daarom niet verdacht hoeft te lijken.

Het begint zoals gewoonlijk allemaal met een e-mail. De werknemer ontvangt een bericht dat van Personeelszaken lijkt te komen, waarin om een prestatiebeoordeling wordt gevraagd. De tekst van het bericht bevat een link naar een website met een “beoordelingsformulier” dat ingevuld moet worden.

Nieuwkomers zijn het doelwit<

Als de instructies geloofd moeten worden, dient de gebruiker de link te volgen, in te loggen, op een e-mail te wachten met verdere details, en één van de drie opties te selecteren. Voor iedereen die nieuw is binnen het bedrijf en de beoordelingsprocedure niet kent, kan deze volgorde van stappen overtuigend lijken. Alleen het adres van de website (die niets te maken heeft met de middelen van het bedrijf) zou argwaan kunnen wekken.

Als de werknemer de link opent, zien ze een inlogpagina van een “HR-portaal”. In tegenstelling tot vele andere phishing-middelen die eruit moeten zien als inlogpagina’s voor zakelijke diensten, lijkt deze pagina vrij primitief, met een heldere, vaak eenkleurige achtergrond en velden voor gegevensinvoer over de pagina. Om het echt te laten lijken, vragen de scammers de gebruiker om het privacybeleid te accepteren (zonder daarbij een link naar zo’n document te verstrekken).

Het slachtoffer wordt gevraagd om hun gebruikersnaam, wachtwoord en e-mailadres in te voeren. In sommige gevallen laten de scammers ze hun werkadres invoeren. Door op de inlogklop of beoordelingsknop te drukken, stuurt de werknemer deze informatie in werkelijkheid direct door naar de cybercriminelen.

Dit is het moment waarop de “beoordeling” waarschijnlijk tot een abrupt einde komt. De werknemer wacht wellicht nog even, tevergeefs, op de beloofde e-mail met verdere details. In het gunstigste geval hebben ze misschien door dat er iets mis is, of sturen ze een vriendelijke herinnering naar de echte HR-afdeling, die vervolgens de IT-afdeling zal waarschuwen. Als dat echter niet zo is, kan het zijn dat het bedrijf deze diefstal van gegevens maandenlang niet opmerkt.

De gevaren van het hijacken van bedrijfsaccounts

Die hangen natuurlijk allemaal af van de technologieën waar het bedrijf gebruik van maakt. Met de inloggegevens van de werknemer zou de cybercrimineel bijvoorbeeld gerichte phishing-e-mails namens het slachtoffer naar andere werknemers, partners of klanten kunnen versturen.

De aanvaller kan ook toegang verkrijgen tot hun correspondentie of interne vertrouwelijke documenten, wat de kansen op een succesvolle aanval doet toenemen: berichten die van het slachtoffer lijken te komen worden waarschijnlijk niet onderschept door spamfilters, maar zorgen ook voor vals vertrouwen bij de ontvangers. Later kan de gestolen informatie ook worden gebruikt voor verschillende soorten gerichte aanvallen op het bedrijf zelf, inclusief business e-mail compromise (BEC).

Bovendien kunnen interne documenten en berichten van werknemers ook voor andere doeleinden worden gebruikt, voor bijvoorbeeld chantage of de verkoop ervan aan concurrenten.

Hoe beschermt u zich tegen phishing-aanvallen

Dit soort aanvallen speelt vooral in op de menselijke factor. Daarom is het essentieel om ervoor te zorgen dat werknemers bekend zijn met de cybersecurity-procedures en -processen van het bedrijf.

  • Geef regelmatig herinneringen af voor werknemers waarin staat dat er zorgvuldig moet worden omgesprongen met eventuele links in e-mails, en dat deze alleen mogen worden geopend als ze absoluut veilig zijn;
  • Herinner personeel eraan dat ze geen gegevens van werkaccounts invoeren buiten de website van het bedrijf;
  • Onderschep phishing-e-mails voor ze ook maar in de buurt van iemands inbox kunnen komen. Daarom moet u een beveiligingssysteem installeren op het niveau van de mailserver. Kaspersky Security for Mail Server of Kaspersky Endpoint Security for Business Advanced regelt dit voor u.