Gratis tool maakt opzetten van phishing aanvallen kinderlijk eenvoudig

Een nieuwe online tool maakt het voor aanvallers zeer eenvoudig een phishing aanval op te zetten. Aanvallers selecteren simpelweg een dienst waarvan zij een nagemaakte inlogpagina willen serveren aan slachtoffers, waarna deze inlogpagina door de tool wordt gegenereerd.

De tool heet ‘Fake-Game’ en is ontdekt door onderzoekers van beveiligingsbedrijf Fortinet. Fake-Game zou inmiddels bijna een jaar beschikbaar zijn. In deze periode zouden 60.000 gebruikers gezamenlijk bijna 700.000 wachtwoorden hebben gestolen met behulp van de dienst.

Fake-Game neemt phishers werk uit handen

Fake-Game is ontwikkeld om aanvallers al het werk uit handen te nemen bij het opzetten en uitvoeren van een phishing aanval. Zo genereert de dienst niet alleen nagemaakte inlogpagina’s, maar host deze ook automatisch. Aanvallers hoeven hierdoor uitsluitend de URL naar de inlogpagina te verspreiden onder slachtoffers om een aanval te starten. Daarnaast verzamelt de tool automatisch alle wachtwoorden die slachtoffers invoeren op de nagemaakte inlogpagina. Ook bevat Fake-Game links naar websites waar gestolen inloggegevens te koop kunnen worden aangeboden.

De dienst is gratis te gebruiken, maar heeft wel een aantal betaalde functionaliteiten. Voor een tarief van 3,50 dollar per maand of 7,12 dollar per drie maanden krijgen gebruikers een premium account. Dit account geeft niet alleen toegang tot inloggegevens die gebruikers zelf buitmaken, maar ook tot gegevens die gratis gebruikers hebben buitgemaakt. Daarnaast worden inloggegevens die premium gebruikers via Fake-Game stelen afgeschermd en niet gedeeld met andere gebruikers.

Via Fake-Game kunnen phishingsites worden opgezet voor allerlei online diensten (bron: Fortinet)