Cybercriminelen hebben de afgelopen maanden vol ingezet op phishing-aanvallen, met dank aan de coronapandemie. Het aantal aanvallen nam tijdens de eerste golf toe met 220 procent ten opzichte van het gemiddelde van vorig jaar. Bovendien waren de aanvallen ook een stuk professioneler en geraffineerder. Dit blijkt uit het Phishing and Fraud Report.
De vierde editie van het jaarlijkse rapport laat zien dat het aantal phishing-incidenten inmiddels met 15 procent jaar-op-jaar stijgt. De eerste golf van de coronapandemie liet echter een grote piek zien. De verwachting is dat de cijfers ook nu in de tweede golf zullen stijgen. De drie belangrijkste doelen van de coronagerelateerde aanvallen waren donaties aan niet bestaande goede doelen, het verzamelen van inloggegevens en het afleveren van malware.
F5 Labs onderzocht ook logs van een overzicht van alle publieke, digitale certificaten. Het aantal certificaten met termen als COVID en corona steeg naar 14.949 in maart, een groeispurt van 1102 procent ten opzichte van een maand eerder. Door gebruik te maken van digitale certificaten neemt de kans op een succesvolle aanval flink toe.
Domeinnamen
Fraudeurs zijn nu nog creatiever in het gebruik van domeinnamen. In de cijfers van 2020 tot nu toe blijkt dat 52 procent van de phishing-sites een merknaam of identiteit in de eigen URL verwerkt. Amazon staat hierbij de laatste maanden bovenaan, gevolgd door Paypal, Apple, WhatsApp, Microsoft Office, Netflix en Instagram.
Gestolen wachtwoorden worden vaak al binnen vier uur na de phishing-aanvallen uitgeprobeerd. Sommige aanvallen vonden zelfs realtime plaats om in te spelen op multi-factor authenticatie.
Het kapen van normale, weliswaar kwetsbare URL’s was ook populair. WordPress-sites namen 20 procent van de algemene phishing-URL’s voor hun rekening. In 2017 was dit nog 4,7 procent. Cybercriminelen letten ook op de eigen kosten door gratis registrars te gebruiken voor bepaalde top level domeinen. Hierbij staat .tk in de top vijf populairste domeinen ter wereld.
Daarnaast investeerde men in de professionele uitstraling van de frauduleuze sites. De meeste phishing-sites passen encryptie toe en 72 procent gebruikt geldige HTTPS-certificaten. Alle drop zones, de bestemmingen van gestolen data, gebruikten TLS-versleuteling. Vorig jaar was dat nog 89 procent.
Hierbij werd door iets meer dan de helft (55,3 procent) een niet-standaard SSL/TLS-poort gebruikt, vrijwel altijd poort 446. Phishing-sites gebruikten vooral standaard poorten: 80 voor cleartext HTTP-verkeer en 443 voor versleuteld SSL/TLS-verkeer.
Trends
Volgens Shape Security, dat dit keer voor het eerst werd meegenomen in het Phishing and Fraud Report, zijn er twee grote trends in phishing-aanvallen. Doordat er steeds betere beveiliging is tegen botnets stappen aanvallers over op click farms. Hierbij worden tientallen ‘medewerkers’ systematisch ingezet om in te loggen op een website met gestolen gegevens. Doordat de activiteit er ‘menselijk uitziet wordt deze handeling minder snel gedetecteerd als frauduleus.
Daarnaast groeit het aantal realtime phishing proxies (RTPP) waarmee multi-factor authenticatie codes worden achterhaald. De RTPP handelt als een tussenpersoon en onderschept de interactie van een slachtoffer met een website. Omdat het real-time plaatsvindt, kan het proces geautomatiseerd plaatsvinden en zelfs tijdgebaseerde authenticatie overnemen.
Lees ook:
- Haagse bouwer phishingsoftware opgepakt
- Pak de regie over cybersecurity
