Phishers kijken kunst af van securityprofessionals
Deze grootschalige, op Nederland gerichte phishingsactie en de daarbij benutte methode wordt belicht door Group-IB. Onderzoekers van die securityleverancier hebben de cybercriminele campagne de naam RUNLIR gegeven, vanwege het gebruik van Russische (RU), Nederlandse (NL) en Iraanse (IR) domeinnamen. Het netwerk van gebruikte nepwebsites voor het phishen van inloggegevens voor bijvoorbeeld banken omvat ruim 750 aangesloten domeinen. Deze weigeren echter toegang als bezoekers geen Nederlanders zijn.
Geotracking
Het CERT (Computer Emergency Response Team) van Group-IB (CERT-GIB) heeft namelijk gezien dat de cybercriminelen een combinatie van geavanceerde middelen gebruiken om echte consumenten, en dan specifiek Nederlanders, op de korrel te nemen. Hiervoor wordt gecontroleerd of een potentieel slachtoffer wel vanaf een Nederlands mobiel netwerk komt. Dergelijke geotracking wordt door securityprofessionals benut om te controleren of gebruikers/bezoekers wel uit een verwachte regio komen. Als een Nederlandse werknemer ineens lijkt in te loggen vanuit China, kan dat een teken van accountkaping zijn.
Naast geotracking gebruiken de RUNLIR-phishers de antibotdienst BlackTDS voor detectie van geautomatiseerde bezoeken, van bijvoorbeeld scannende security-onderzoekers en CERT's. Ook gebruiken de phishers verschillende versies van de uAdmin-phishingkit, waarmee ze live hun phishingsites kunnen aanpassen. Tot slot draaien ze hun eigen infrastructuur bij de beruchte bulletproof-hostingdienst Yalishanda.
Zes dagen ipv 24 uur
Deze aanpak zorgt ervoor dat de cybercriminelen hierachter doelgroepgericht werken en daarbij beveiligingsexperts grotendeels weten buiten te sluiten. Als gevolg daarvan behalen ze ook een opvallend grote vergroting van de levensduur van hun netwerk aan phishingsites. Gemiddelde gaat een phishingpagina ongeveer 24 uur mee, stelt Group-IB. Dan wordt het ontdekt, geïndexeerd, geblokkeerd, soms opgeschoond en soms opgegeven door de phishers. De pagina's die worden gebruikt bij deze nieuwe aanpak hebben een gemiddelde levensduur van zes dagen.
Deze combinatie van middelen die deze phishers gebruiken om beveiligingscontroles te omzeilen, is uniek voor Nederland, zo laat Group-IB weten aan AG Connect. De op Nederlanders gerichte campagne loopt al sinds maart dit jaar, nonstop; het is tot op heden niet stopgezet. Wel doen securitybedrijven zoals Group-IB nu aan filtering en afweer van deze sluwe methode van cybercriminelen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee