Cybercriminelen ontwikkelen hun phishing-methoden voortdurend. Ze gebruiken nieuwe technieken en tactieken om slachtoffers te misleiden, beveiligingsmaatregelen te omzeilen en onopgemerkt te blijven. In een nieuwe Threat Spotlight geeft Barracuda Networks details over drie nieuwe vormen van phishing die in januari 2023 zijn ontdekt, na analyse van gegevens van door Barracuda-systemen geblokkeerde e-mails. 

Het totale volume van aanvallen met deze tactieken is momenteel laag: elk van de besproken tactieken werd gebruikt in minder dan 1% van de gedetecteerde aanvallen. Toch is dit een zorgwekkende ontwikkeling, aangezien deze methoden wijdverbreid zijn: tussen 11% en 15% van de onderzochte organisaties wordt met deze methoden aangevallen en krijgt vaak te maken met meerdere aanvalspogingen.

De drie door Barracuda geïdentificeerde en geanalyseerde tactieken zijn

-Aanvallen met behulp van Google Translation Web Links

In januari van dit jaar merkten onderzoekers e-mailaanvallen op waarbij de Google Vertaalservice voor websites werd gebruikt om kwaadaardige URL's (adressen van webpagina's) te verbergen.

De tactiek werkt als volgt: aanvallers gebruiken slecht opgebouwde HTML-pagina's of een niet-ondersteunde taal om te voorkomen dat Google de webpagina automatisch vertaalt. Google reageert dan met een melding met een link naar de webpagina, om aan te geven dat het de onderliggende website niet kan vertalen. De aanvallers voegen deze URL-link in een e-mail in en wanneer de ontvanger erop klikt, wordt hij doorgestuurd naar een valse, authentiek ogende website, die in werkelijkheid een phishingsite van de aanvallers is.
 
Deze aanvallen zijn moeilijk te detecteren omdat ze een URL bevatten die naar een legitieme website verwijst. Daardoor staan veel e-mailfiltertechnologieën toe dat deze aanvallen in de inbox van gebruikers terechtkomen. Bovendien kunnen aanvallers de schadelijke payload wijzigen terwijl de e-mail wordt verzonden, waardoor ze nog moeilijker te detecteren zijn.
 
Uit de verzamelde gegevens blijkt dat iets minder dan een op de acht organisaties (13%) in januari 2023 het doelwit was van dit soort phishing-e-mails. Elke organisatie ontving in die maand gemiddeld acht van dergelijke e-mails.

-Phishing met afbeeldingen

Aanvallen met afbeeldingen worden vaak gebruikt door spammers. Onderzoekers van Barracuda hebben ontdekt dat aanvallers steeds vaker afbeeldingen, zonder tekst, gebruiken in hun phishingaanvallen. De afbeeldingen in kwestie kunnen formulieren zijn, zoals facturen, en bevatten vaak een telefoonnummer dat, als erop wordt geklikt, linkt naar phishing. Omdat deze aanvallen geen tekst bevatten, kunnen conventionele e-mailbeveiligingssystemen ze moeilijk detecteren.
 
Uit de verzamelde gegevens blijkt dat ongeveer een op de tien (11%) organisaties in januari 2023 het doelwit was van dit soort phishing-e-mails. Elke organisatie ontving in die maand gemiddeld twee van dergelijke e-mails.

-Aanvallen waarbij speciale tekens worden gebruikt

Hackers gebruiken vaak niet-jagende Unicode-tekens, interpunctie, niet-Latijnse tekens of spaties om aan detectie te ontsnappen. Deze tactiek wordt ook gebruikt bij "typosquatting"-aanvallen via het webadres. Hierbij wordt het echte siteadres nagebootst door een kleine, onopvallende spelfout in te bouwen. Wanneer deze speciale tekens in een phishing-e-mail worden gebruikt, zijn ze niet zichtbaar voor de ontvanger.
 
De manier waarop de tactiek werkt is dat een aanvaller een spatie toevoegt in de kwaadaardige URL van een phishing e-mail. Dit veroorzaakt een breuk in het patroon van de URL, zodat beveiligingstechnologieën deze niet als kwaadaardig detecteren. Het opsporen van deze aanvallen kan ook moeilijk zijn, omdat er legitieme redenen zijn om speciale tekens te gebruiken, bijvoorbeeld in e-mailhandtekeningen.
 
Onderzoekers ontdekten dat in januari 2023 meer dan een op de zeven organisaties (15%) phishing-e-mails ontving waarin speciale tekens op deze manier werden gebruikt. Elke organisatie ontving gemiddeld vier van dergelijke e-mails per maand.


De studie concludeert: 

"Phishing is het startpunt voor veel cyberaanvallen, waaronder ransomware, financiële fraude en inlogdiefstal. Cybercriminelen blijven hun phishing-aanpak ontwikkelen om nietsvermoedende ontvangers te misleiden en detectie en blokkering te vermijden", zegt Alain Luxemburg, Vice President Benelux en Nordics, Barracuda. "Het beschermen van de organisatie vereist e-mailbescherming die gebruik maakt van kunstmatige intelligentie. De context, het onderwerp en de afzender van een bericht kunnen worden geïnspecteerd om te bepalen of een schijnbaar onschuldige e-mail in feite een goed vermomde phishing-aanval is. Daarnaast moeten werknemers voortdurend worden getraind om verdachte berichten te herkennen en te melden. Daarnaast moeten er ook tools voorhanden zijn om snel sporen van kwaadaardige e-mail op te sporen en deze uit de inbox van gebruikers en uit gecompromitteerde accounts te verwijderen, mocht zo'n e-mail toch doorkomen.