Nieuwe phishingaanval op Gmail-gebruikers is moeilijk te herkennen
Een nieuwe phishingaanval gericht op Gmail-gebruikers is opgedoken. Beveiligingsonderzoekers waarschuwen dat de aanval vakkundig is opgezet, zeer geloofwaardig overkomt en ook technisch georiënteerde gebruikers om de tuin kan leiden.
Wordfence trekt aan de bel over de nieuwe phishingaanval, waarbij aanvallers gericht doelwitten aanvallen. Wordfence is het bedrijf achter de gelijknamige WordPress beveiligingsplugin. De aanval start vanaf een gekraakt Gmail-account. In de ontvangen berichten van dit account zoeken de aanvallers naar een recent verzonden e-mail met een bijlage die vanaf een Gmail-account is verstuurd. Vervolgens maken de aanvallers een screenshot van deze bijlage en sturen deze afbeelding als bijlage in een reactie naar de verzender van de e-mail. Hierbij wordt bewust dezelfde of een nagenoeg gelijke onderwerpregel gebruikt, zodat deze herkent wordt door de ontvanger en minder wantrouwen wekt.
Inlogpagina
Door deze actie wordt de screenshot weergegeven als afbeelding in de e-mail en lijkt op het eerste oog een legitieme bijlage te zijn aan het bericht. Zodra de ontvanger de bijlage echter probeert te openen wordt een nagemaakte inlogpagina van Gmail getoond en de gebruiker gevraagd opnieuw in te loggen. Wie dit doet stuurt zijn inloggegevens door naar de aanvallers.
Wordfence waarschuwt dat de phishingpagina een zeer goede kopie is van de inlogpagina van Google en hierdoor niet eenvoudig te herkennen is. De URL wijkt weliswaar af, maar bevat ‘accounts.google.com’ als subdomein. Dit is volgens Mark Maunders, CEO van het bedrijf, voldoende om veel gebruikers om de tuin te leiden. Hierbij wordt gebruikt gemaakt van een data URI, waarmee kleine databestanden kunnen worden opgenomen in een URL. Via deze data URI wordt de valse inlogpagina voor Google gegenereerd.
Contactpersonen van slachtoffers worden aangevallen
Zodra de gebruikers de inloggegevens van het slachtoffer in handen hebben wordt direct ingelogd op het account, waarna de cyclus opnieuw begint. De aanvallers doorzoeken recent ontvangen berichten van het slachtoffer, kiezen een e-mail met een bijlage en versturen een phishingmail naar de verzender van deze e-mail.
Wordfence adviseert gebruikers altijd waakzaam te zijn op afwijkende URL’s en URL’s volledig te controleren. De URL die gebruikers bij deze aanval krijgen voorgeschoteld bevat een grote hoeveelheid tekst, die wordt verborgen door deze tekst met veel witte ruimte te scheiden van de URL die gebruikers in hun URL zien. De tekst wordt dus wel getoond, maar staat simpelweg buiten beeld doordat een zeer lange URL wordt gebruikt. Daarnaast wijst het bedrijf op de tekst ‘data:text/html’ aan het begin van de URL. Dit stuk wordt door veel gebruikers over het hoofd gezien stelt Wordfence, aangezien zij vooral zoeken naar ‘https’.
De data URI die tijdens de aanval wordt getoond (bron: Wordfence)
De verborgen tekst in de data URI die tijdens de aanval wordt getoond (bron: Wordfence)
Meer over
Lees ook
Microsoft-medewerkers trappen in spear phishing-aanval
Medewerkers van Microsoft zijn vorige week in een spear phishingaanval getrapt. De hackersgroep Syrian Electronic Army (SEA) wist op deze wijze de inloggegevens van zowel het blog als het Twitter-account van Microsoft in handen te krijgen. Microsoft bevestigt tegenover The Verge de cyberaanval. "Een social engineering aanvalsmethode die bekend st1
Van phishing verdachte student blijft voorlopig op vrije voeten
Een 24-jarige student van de Saxion Hogeschool in Deventer die door de Verenigde Staten (VS) wordt verdacht van deelname aan een phishingaanval blijft voorlopig op vrije voeten. Dit heeft het gerechtshof in Leeuwarden bepaald. De VS hebben om uitlevering van de 24-jarige Vietnamees die in Deventer studeert gevraagd. Het gerechtshof in Leeuwarden1