Valse e-mailscanner

We kijken in detail naar een phishing-site die zich voordoet als e-mailscanner en de pogingen om slachtoffers te strikken.

In de afgelopen jaren is het nieuws over e-mailgebaseerde infecties van bedrijfsnetwerken vrij regelmatig te zien geweest (en normaal gesproken ging het dan om ransomware). Het is dus geen verrassing dat scammers dit nieuws zo nu en dan juist gebruiken om medewerkers van bedrijven hun inloggegevens voor zakelijke e-mailaccounts te ontfutselen door ze te overtuigen een scan van hun mailbox uit te voeren.

Deze truc is gericht op mensen die wel weet hebben van de potentiële dreiging van malware in e-mails, maar onvoldoende kennis hebben van hoe ze daarmee om moeten gaan. Infosec-personeel zou er goed aan doen om deze trucs aan werknemers uit te leggen en dit soort voorbeelden te gebruiken om te illustreren waar werknemers op moeten letten om te voorkomen dat ze slachtoffer worden van cybercriminelen.

Phishing-e-mail

Dit scambericht gebruikt de aloude truc van slachtofferintimidatie. U ziet het meteen in de kop al: “Virus Alert”, gevolgd door drie uitroeptekens. Hoe onbeduidend iets als punctuatie ook mag lijken, het is het eerste teken dat de ontvanger erop zou moeten wijzen dat het bericht niet pluis is. Onnodige punctuatie in een werk-e-mail is een teken van drama of onprofessioneel gedrag. Hoe dan ook, het is niet gepast in een melding die zogenaamd bedoeld is om informatie over een dreiging over te brengen.

Phishing-bericht

De belangrijkste vraag die de ontvanger moet stellen is: Wie heeft dit bericht verzonden? In de e-mail staat dat niets doen ertoe zal leiden dat het account van de ontvanger geblokkeerd zal worden. Het is wellicht logisch om aan te nemen dat de e-mail ofwel is verzonden door de IT-dienst die de bedrijfsmailserver ondersteunt, of door werknemers van de mailserviceprovider.

Het i echter belangrijk om te begrijpen dat geen enkele provider of interne dienst actie van een gebruiker vereist om de inhoud van de mailbox te scannen. Het scannen gebeurt automatisch op de mailserver zelf. Bovendien vindt “virusactiviteit” zelden binnen een account plaats. Zelfs als iemand een virus heeft verzonden, zou de ontvanger dit eerst moeten downloaden en uitvoeren. Infectie gebeurt op de computer, niet op het e-mailaccount.

Als we terugkeren naar die eerste vraag, zien we als we naar de afzender kijken meteen twee zaken die de alarmbellen moeten laten rinkelen. Ten eerste is de e-mail verzonden vanaf een Hotmail-account, terwijl een legitieme melding het domein van het bedrijf of de mailprovider zou weergeven. Ten tweede komt het bericht zogenaamd van het “Email Security Team”. Als het bedrijf van de ontvanger een externe mailserviceprovider gebruikt, zou die naam natuurlijk in de afsluiting van de e-mail moeten staan. En als de mailserver zich in de bedrijfsinfrastructuur bevindt, komt die melding van de interne IT-afdeling of de infosec-dienst, en de kans dat een volledig team verantwoordelijk is voor alleen e-mailbeveiliging is erg klein.

Vervolgens is daar de link. De meeste moderne e-mailclients tonen de URL die achter de hyperlink verborgen gaat. Als de ontvanger aangespoord wordt om verder te klikken naar een e-mailscanner die op een domein gehost wordt dat niet aan uw bedrijf noch aan de mailprovider toebehoort, is het bijna zeker phishing.

Phishing-site

De site ziet eruit als een soort online e-mailscanner. Om het allemaal echt te laten lijken, toont het de logo’s van een reeks antivirus-aanbieders. De kop op de site noemt zelfs de naam van het bedrijf van de ontvanger, en dat zou alle twijfel moeten wegnemen over wiens tool het is. De site simuleert eerst een scan, en onderbreekt deze vervolgens met het grammaticaal incorrecte bericht “Confirm your account below to complete Email scan & delete infected all files”. Daar is natuurlijk het accountwachtwoord voor nodig.

Interface van phishing-scanner

Om de site te beoordelen moet u beginnen met het onderzoeken van de inhoud van de adresbalk in de browser. Ten eerste bevindt de site zich niet op het juiste domein, zoals hierboven al werd vermeld. Ten tweede bevat de URL hoogstwaarschijnlijk het e-mailadres van de ontvanger. Dat is op zich prima: het gebruikers-ID kan zijn doorgegeven via de URL. Maar in het geval van twijfel over de legitimiteit van de site, vervang het adres dan met willekeurige tekens (maar behoudt het @-symbool om de vorm van een e-mailadres te behouden).

Dit soort sites gebruikt het adres dat is doorgegeven door de link in de phishing-e-mail om de lege velden in het paginasjabloon in te vullen. Als experiment gebruikten we het niet-bestaande adres victim@yourcompany.org en de site gebruikte “yourcompany” netjes in de naam van de scanner, en het volledige adres in de naam van het account, waarna het zogenaamd begon met het scannen van niet-bestaande bijlages in niet-bestaande e-mails. Als we dit experiment herhaalden met een ander adres, zagen we dat de namen van de bijlages in elke “scan” hetzelfde waren.

De valse scannersite simuleert een scan

Een andere inconsistentie is dat de scanner zogenaamd de inhoud van de mailbox scant, en dat zonder authenticatie. Waarom is er dan nog een wachtwoord nodig?

Hoe u uw werknemers tegen phishing beschermt

We hebben de tekenen van phishing in zowel de e-mail als op de valse scannerwebsite geanalyseerd. Door uw werknemers deze post te laten zien, zullen ze al een heel aardig idee krijgen van waar ze op moeten letten. Maar dat is slechts het topje van de spreekwoordelijke ijsberg. Sommige nepmails zijn een stuk geavanceerder en moeilijker als zodanig te herkennen.

Daarom raden we aan om continue bewustzijnstraining over de laatste cyberdreigingen voor werknemers te verzorgen, bijvoorbeeld met gebruik van ons Kaspersky Automated Security Awareness Platform.

Gebruik bovendien beveiligingsoplossingen om phishing-e-mails op de mailserver te detecteren en doorverwijzingen naar phishing-websites op werkstations te blokkeren. Kaspersky Security for Business doet dat allebei. Daarnaast bieden we ook een oplossing aan die de ingebouwde beschermingsmechanismes van Microsoft Office 365 verbetert.

Tips