Kaspersky bracht een nieuwe phishingcampagne gericht op kleine en middelgrote bedrijven (MKB) aan het licht. De aanval maakt gebruik van de e-mailserviceprovider SendGrid. Dit om mailinglijsten van klanten te infiltreren. Ook gebruikt het gestolen gegevens om phishingmails te versturen. Deze mailtjes maken de criminelen zo authentiek mogelijk. Dit om zo ontvangers gemakkelijk te misleiden.
Gebruik mailinglijsten
Cybercriminelen richten zich vaak op mailinglijsten die bedrijven gebruiken om hun klanten te bereiken. Dit biedt mogelijkheden voor spamming, phishing en andere geavanceerde oplichtingspraktijken. Toegang tot legitieme tools voor het verzenden van bulkmails verhoogt de slagingskans van dergelijke aanvallen nog verder.
Daarom proberen aanvallers vaak de accounts van bedrijven bij e-mail service providers (ESP’s) te compromitteren. Kaspersky heeft een phishing-campagne ontdekt die deze aanvalsmethode verfijnt door gegevens van de SendGrid ESP te verzamelen door phishing e-mails rechtstreeks via de ESP zelf te verzenden.
Frauduleuze website
Door phishingmails rechtstreeks via de ESP te versturen, vergroten aanvallers de kans op succes en maken ze gebruik van het vertrouwen van ontvangers in communicatie van bekende bronnen. De phishing e-mails lijken afkomstig te zijn van SendGrid, uiten bezorgdheid over de beveiliging en dringen er bij ontvangers op aan om tweefactorauthenticatie (2FA) in te schakelen om hun accounts te beschermen. De link leidt gebruikers echter door naar een frauduleuze website die de SendGrid inlogpagina nabootst, waar de gegevens van de slachtoffers worden verzameld.
Legitieme linkjes
Voor alle e-mailscanners ziet de phishing eruit als een volkomen legitieme e-mail. Als een bedricht dat men verzond vanaf de servers van SendGrid. Het beschikt over legitieme linkjes die verwijzen naar het SendGrid-domein. Het enige dat de ontvanger kan waarschuwen is het adres van de afzender. Dat komt omdat ESP’s daar het domein van de echte klant en de mailing ID plaatsen. Een belangrijk teken van fraude is het “sendgreds”-domein van de phishingsite, dat op het eerste gezicht sterk lijkt op het legitieme “sendgrid”, wat dient als een subtiel maar belangrijk waarschuwingsteken.
Wat deze campagne bijzonder verraderlijk maakt, is dat de phishing e-mails de traditionele beveiligingsmaatregelen van de MKB-onderneming omzeilen. Omdat ze worden verzonden via een legitieme service en geen duidelijke tekenen van phishing bevatten, kunnen ze worden omzeild door automatische filters.
Gekaapte accounts
Meestal maken phishers gebruik van gekaapte accounts, omdat ESP’s nieuwe klanten aan strenge controles onderwerpen, terwijl oude klanten die al een aantal bulkmails hebben verzonden als betrouwbaar worden beschouwd.
