In een nieuwe phishingcampagne doen kwaadwillenden zich voor als recruiter van meer dan dertig bekende merken, waaronder Adobe, Netflix, Coca-Cola en OpenAI. Via uitnodigingen voor nep-sollicitatiegesprekken proberen de aanvallers Google-inloggegevens van marketingprofessionals te bemachtigen. De campagne draait al minstens vijf maanden en is nu pas ontdekt.
Slachtoffers ontvangen een mail van een zogenaamde recruiter die iemand zoekt voor een marketingfunctie. Om extra vertrouwen te wekken gebruiken de aanvallers de namen en foto’s van echte recruiters van bekende merken. Onder de doelwitten zitten bedrijven uit sectoren als luchtvaart, mode, sport en technologie waaronder American Airlines, Louis Vuitton, FIFA en Adidas.
De operatie misbruikt legitieme clouddiensten. De mails lijken afkomstig van het HR-platform PeopleForce, maar de onderliggende links leiden via een domein van Salesforce Marketing Cloud en de CRM-software Wise Agent naar een kwaadaardige landingspagina. Die redirects via vertrouwde diensten maken de aanval lastiger te blokkeren.
Nep Google-popup via browser-in-the-browser
Wie een gesprek wil inplannen, belandt op een pagina als adidas-hiring[.]com en wordt gevraagd in te loggen met een Google-account. Klik je op “Continue with Google”, dan verschijnt er een nagemaakt Google-inlogvenster. Dat venster lijkt op een echte browser-popup, maar bestaat volledig uit HTML- en CSS-code binnen de phishingpagina zelf. Deze techniek staat ook wel bekend als browser-in-the-browser (BitB).
En dat maakt de aanval zo verraderlijk. Klassieke visuele checks, zoals het herkennen van het Google-logo of de vorm van een pop-up, bieden hier weinig houvast. Het nagemaakte venster kan de favicon, lay-out en zelfs de adresbalk inclusief het HTTPS-slotje exact nabootsen. Omdat de adresbalk in de pop-up een puur cosmetisch HTML-element is, toont deze keurig alles zoals je gewend bent, terwijl de browser op de achtergrond verbonden blijft met het kwaadaardige domein.
Voor IT-afdelingen brengt deze methode bovendien een extra risico met zich mee, namelijk het omzeilen van tweestapsverificatie. De nep-popup werkt namelijk als een live doorgeefluik. Zodra het slachtoffer zijn inloggegevens en de eventuele MFA-code (via sms of een authenticator-app) invult, worden deze direct doorgestuurd naar de echte systemen van Google. De aanvallers onderscheppen zo de geldige inlogsessie, waardoor traditionele extra beveiligingslagen de aanval niet stoppen.
Volgens de onderzoeker die de campagne analyseerde, komt de mail van “a recruiter looking to hire people for marketing roles”. Hoe de aanvallers toegang kregen tot de legitieme platforms is onduidelijk. Misbruik van die diensten betekent niet direct dat ze gecompromitteerd zijn. Een mogelijkheid is het aanmaken van een echt account puur voor de campagne.
Lees ook: AP ziet zorgelijke stijging account takeovers door AI-phishing
De nepop-up ontmaskeren: hoe spot je dit?
Hoewel zo’n nagemaakt inlogvenster visueel niet van echt te onderscheiden is, zitten de oplichters technisch gezien wel vast aan de grenzen van de internetpagina zelf. De nepop-up is namelijk geen los nieuw venster, maar een slim getekend plaatje binnen het tabblad dat al openstaat. Dit zorgt voor een verschillende fouten waarmee een oplettende gebruiker of IT-afdeling de fraude direct kan doorprikken.
De meest eenvoudige truc hiervoor is de versleeptest. Een echt inlogvenster van Google kun je met de muis over je hele beeldscherm bewegen, zelfs naar een tweede monitor. Omdat de nepop-up van de aanvallers vastzit aan de geopende webpagina, kan deze de randen van dat specifieke tabblad nooit verlaten. Probeer je het venster naar de zijkant of omhoog te slepen? Dan zul je zien dat de nepop-up plotseling wordt afgesneden door de rand van de browser of achter de bladwijzerbalk verdwijnt.
Daarnaast is de wachtwoordmanager een waterdichte scheidsrechter. Systemen zoals 1Password, Bitwarden of de ingebouwde wachtwoordkluis van de browser laten zich niet misleiden door een mooi nagemaakte adresbalk. Zij kijken puur naar het daadwerkelijke webadres op de achtergrond. Omdat ze zien dat je stiekem op een heel andere website zit dan de officiële inlogpagina van Google, zullen ze weigeren om je gegevens automatisch in te vullen. Het feit dat je wachtwoordmanager ineens niet reageert, is dan ook een belangrijke rode vlag dat er iets mis is.
Onderdeel van een grotere trend
Het misbruik van bekende merknamen en legitieme clouddiensten past in een bredere, zorgwekkende trend. Aanvallers richten zich steeds minder op het hacken van systemen, maar steeds meer op het misleiden van de mens. Een paar jaar geleden zagen we al grootschalige campagnes waarbij criminelen via valse Gmail-accounts en nepklachten over auteursrechten malware verspreidden om inloggegevens rechtstreeks uit browsers te stelen. De technieken worden simpelweg steeds geraffineerder om traditionele mailfilters te omzeilen.
Gelukkig staat de security-wereld niet stil en zijn er effectieve wapens tegen dit soort geavanceerde misleiding. De belangrijkste troef van dit moment zijn passkeys. Waar een mens zich nog laat foppen door een perfect nagemaakte adresbalk, doet een computer dat niet. Deze nieuwe manier van inloggen controleert op de achtergrond cryptografisch of de website wel echt is wie hij beweert te zijn. Zit je stiekem op een nagemaakt domein? Dan weigert de passkey simpelweg te werken.
Daarnaast werpt ook de ingebouwde realtime-bescherming van moderne browsers zoals Chrome zijn vruchten af, wat het aantal succesvolle phishingpogingen al met een kwart heeft teruggedrongen. Toch laat deze campagne zien dat technologische hulpmiddelen alleen niet genoeg zijn. Zolang e-mailfilters worden omzeild via platforms als Salesforce en PeopleForce, blijft het menselijk oog nog steeds een goede barrière tegen een geslaagde hack.