phishing

Phishing via e-mailmarketingdiensten

Om anti-phishing-technologieën te omzeilen, kunnen de boosdoeners gebruikmaken van legitieme e-mailserviceproviders, of ESP’s. Gevaarlijke berichten zijn echter wel te stoppen.

Roman Dedenok
oktober 29, 2020

Scammers hebben door de jaren heen verschillende trucs gebruikt om antiphishing-technologieën te omzeilen. Een andere truc met een hoog slagingspercentage bij het afleveren van phishing-links aan doelwitten is het gebruik van e-mailmarketingdiensten, ook wel bekend als e-mailserviceproviders (ESP’s) — bedrijven die zich specialiseren in het versturen van e-mailnieuwsbrieven — om berichten te sturen. Volgens de statistieken die we dankzij onze oplossingen hebben verkregen, is deze methode snel populairder geworden.

Waarom ESP-gebaseerde phishing werkt

Bedrijven die e-maildreigingen serieus nemen, scannen alle e-mail grondig met antivirus-, antiphishing- en antispam-engines voordat deze de inboxen van gebruikers kunnen bereiken. Deze engines scannen niet alleen de inhoud, headers en links van een bericht, maar controleren ook de reputatie van de verzender en eventueel gelinkte websites. Risicobeoordelingen zijn gebaseerd op een combinatie van die factoren. Als een massamailing bijvoorbeeld van een onbekende afzender komt, lijkt dit verdacht en is dit een waarschuwing voor de beveiligingsalgoritmes.

Aanvallers hebben hier echter een workaround voor gevonden: het versturen van e-mails namens een vertrouwde organisatie. E-mailmarketingdiensten, die end-to-end nieuwsbrievenmanagement aanbieden, zijn daar perfect geschikt voor. Ze zijn bekend; veel verkopers van beveiligingsoplossingen staan hun IP-adressen standaard toe; en sommige slaan controles van e-mails die via deze diensten worden verstuurd zelfs over.

Hoe ESP’s worden gebruikt

De belangrijkste aanvalsvector is simpel: het is phishing vermomd als legitieme mailings. In principe worden cybercriminelen klanten van de doeldienst, normaal gesproken door een minimaal abonnement aan te schaffen (alles wat meer kost zou nutteloos zijn, zeker omdat ze snel geïdentificeerd en geblokkeerd kunnen worden).

Maar er bestaat een exotischere optie: het gebruik van de ESP als een URL-host. Bij deze truc wordt de nieuwsbrief verzonden via de eigen infrastructuur van de aanvaller. De cybercriminelen kunnen bijvoorbeeld een testcampagne creëren die een phishing-URL bevat, en deze naar zichzelf sturen als preview. De ESP creëert een proxy voor die URL, en de cybercriminelen gebruiken de proxy-URL vervolgens simpelweg voor hun eigen phishing-nieuwsbrief. Een andere optie voor scammers is om een phishing-site te creëren die een mailing-sjabloon lijkt te zijn, en hier verstrekken ze vervolgens een directe link naar. Maar dat komt minder vaak voor.

Hoe dan ook, de nieuwe proxy-URL heeft nu een positieve reputatie, dus die wordt niet geblokkeerd; en de ESP, die de mailing niet verwerkt, ziet niets fouts en blokkeert zijn “client” niet. In ieder geval niet tot er klachten binnen beginnen te komen. Soms spelen zulke trucs zelfs een rol in spear-phishing.

Wat denken ESP’s?

Het mag geen verrassing zijn dat ESP’s niet bepaald staan te springen om gebruikt te worden door cybercriminelen. De meeste hebben hun eigen beveiligingstechnologieën die de berichtinhoud en links die door hun servers komen scannen, en ze bieden bijna allemaal wel ondersteuning voor iedereen die phishing via hun website tegenkomt.

Daarom proberen de aanvallers ook de ESP’s rustig te houden. Het gebruik van een provider voor proxies vertraagt phishing-links vaak, zodat links in testberichten ten tijde van de creatie ervan legitiem lijken; deze worden later pas schadelijk.

Wat u hiertegen kunt doen

In veel gevallen worden de massamailings naar werknemers van bedrijven verzonden waarvan de adressen openbaar beschikbaar zijn. En zelfs de meest waakzame mensen onder ons zien wel eens een verdachte of schadelijke e-mail over het hoofd en klikken wel eens op iets waar we dat beter niet hadden kunnen doen. Om werknemers tegen potentiële phishing-aanvallen die van een e-mailmarketingservice komen te beschermen, raden we het volgende aan:

Instrueer uw personeel om nooit e-mails te openen die als “mass mailing” zijn aangemerkt, tenzij ze zich voor die specifieke mailinglist hebben aangemeld. Dit soort berichten is vaak niet erg dringend. Normaal gesproken is het gewoon nogal opdringerige reclame.
Gebruik robuuste beveiligingsoplossingen die alle inkomende e-mail grondig scannen met gebruik van heuristische algoritmes.

Onder onze oplossingen vindt u Kaspersky Security for Microsoft Office 365 en Kaspersky Security for Mail Server, dat deel uitmaakt van Kaspersky Total Security for Business. Zij beschermen gebruikers op betrouwbare wijze tegen deze dreiging.

Broncode Windows XP gelekt: tips voor bedrijven

Als uw bedrijf apparaten gebruikt die nog op Windows XP draaien, dan is de gelekte broncode een reden te meer om ze goed te beschermen.

Privacy & kinderen

TARGETED SECURITY SOLUTIONS

Enterprise solutions

Phishing via e-mailmarketingdiensten

Waarom ESP-gebaseerde phishing werkt

Hoe ESP’s worden gebruikt

Wat denken ESP’s?

Wat u hiertegen kunt doen

Dat ruikt phishy: als veilig gemarkeerde e-mails

Browser-in-the-browser-aanval: een nieuwe phishing-techniek

Broncode Windows XP gelekt: tips voor bedrijven

Tips

Navigeren door de risico’s van online daten

Begin het jaar met een digitale schoonmaak

Voornemens voor cyberveiligheid: hoe kunnen we 2024 veiliger maken?

Dromen van een digitale kerst

Meld u aan om onze headlines in uw inbox te ontvangen

Oplossingen voor thuis

Bedrijven

Bedrijven

Bedrijven

Securelist

Eugene Personal Blog