11.07.2022
Cybercrime

Amazon Prime Day of Amazon Crime Day? Val niet ten prooi aan phishing

By: Jeroen de Hooge

BlogCybercrime

Op 12 en 13 juli is het Amazon Prime Day, het jaarlijkse kortingsevent van Amazon. Online shoppers zijn op jacht naar eenmalige aanbiedingen en houden het web nauwlettend in de gaten voor nieuwe verrassingen. Cybercriminelen volgen deze trend op de voet en scherpen ook hun eigen verrassingstactieken aan. Amazon-gerelateerde phishing komt het hele jaar door voor, en het bedrijf staat vaak in de top van geïmiteerde merken, maar rond Prime Day is er een toename van activiteit. Check Point Research (CPR) analyseert cyberdreigingen in verband met deze dag, zowel in de weken die eraan voorafgaan als tijdens het evenement zelf, en ziet tekenen van kwaadaardige Prime Day-phishingcampagnes en nepwebsites.

Phishing van shoppers via e-mails en valse URL’s

In de eerste week van juli zag CPR een toename van 37 procent in dagelijkse Amazon-gerelateerde phishingaanvallen, vergeleken met het dagelijkse gemiddelde in juni. Het team vond ook ongeveer 1.900 nieuwe domeinen met de term ‘amazon’ en 9,5 procent daarvan bleek riskant te zijn, ofwel kwaadaardig of verdacht.

In de weken voorafgaand aan Prime Day 2021 werden er nog eens 2.303 nieuwe Amazon-gerelateerde domeinen ontdekt, waarvan de meeste (78 procent) riskant werden bevonden. De onderzoekers denken dat de daling dit jaar deels kan worden verklaard doordat cybercriminelen niet altijd de volledige term “amazon” hebben opgenomen in het domein dat wordt geregistreerd voor phishingdoeleinden om detectie te voorkomen. Bovendien zouden deze cybercriminelen deze domeinen kunnen gebruiken voor een later gebruik, en willen ze niet dat ze inhoud bevatten die als kwaadaardig kan worden beschouwd.

Phishing-e-mails herkennen

Phishers gebruiken allerlei technieken om hun schadelijke e-mails er legitiem uit te laten zien. Dit zijn enkele van de meest gebruikte technieken:

1. Valse domeinen

Een van de meest gebruikte technieken in phishing-e-mails zijn lookalike- of nepdomeinen die op het eerste gezicht een legitiem of vertrouwd domein lijken te zijn. In plaats van het e-mailadres boss@company.com kan een phishing-e-mail bijvoorbeeld boss@cornpany.com gebruiken. De ‘rn’ werd vervangen door een ‘m’ en hoewel deze e-mail op de echte lijkt, behoort deze tot een heel ander domein dat onder controle van de aanvaller kan staan.

Phishers kunnen in hun aanvallen ook valse maar plausibele domeinen gebruiken. Een e-mail die beweert van Netflix te zijn, kan bijvoorbeeld van help@netflix-support.com zijn. Hoewel dit e-mailadres legitiem lijkt, is het niet noodzakelijkerwijs eigendom van of verbonden aan Netflix.

2. Onjuiste grammatica of toon

Vaak worden phishing-e-mails niet geschreven door mensen die de taal vloeiend spreken. Dit betekent dat deze e-mails grammaticale fouten kunnen bevatten of verkeerd klinken. Echte e-mails van een legitieme organisatie zullen deze fouten waarschijnlijk niet bevatten, dus ze zouden een waarschuwing moeten zijn voor een potentiële phishing-aanval.

Iets anders om op te letten zijn e-mails met een verkeerde toon of stem. Bedrijven, collega’s, enz. praten en schrijven op een bepaalde manier. Als een e-mail te formeel of te informeel klinkt, stijfjes, of vreemd gezien de afzender, dan kan het een phishing e-mail zijn.

3. Ongebruikelijke bijlagen

Een veelvoorkomend doel van phishing-e-mails is om de ontvanger ertoe te verleiden bijgevoegde malware te downloaden en uit te voeren op hun computer. Om dit te laten werken, moet de e-mail een bestand bevatten dat in staat is uitvoerbare code uit te voeren.

Daarom kunnen phishing-e-mails ongebruikelijke of verdachte bijlagen bevatten. Een zogenaamde factuur kan bijvoorbeeld een ZIP-bestand zijn of een Microsoft Office-document kan vereisen dat macro’s zijn ingeschakeld om de inhoud te bekijken. Als dit het geval is, is het waarschijnlijk dat de e-mail en de bijlagen kwaadaardig zijn.

4. Psychologische trucs

Phishing-e-mails zijn bedoeld om de ontvanger ervan te overtuigen iets te doen wat niet in zijn of haar belang is (gevoelige informatie weggeven, malware installeren, enz.). Om dit te bekomen, gebruiken phishers vaak psychologische trucs in hun campagnes, zoals:

  • Gevoel van urgentie: Phishing-e-mails vertellen hun ontvangers vaak dat er onmiddellijk iets moet worden gedaan. Dit komt omdat iemand die haast heeft minder snel nadenkt over de vraag of de e-mail er verdacht uitziet of legitiem is.
  • Gebruik van autoriteit: Business e-mail compromise (BEC) scams en andere spear-phishing e-mails doen zich vaak voor als afkomstig van de CEO of iemand anders met autoriteit. Deze oplichting maakt gebruik van het feit dat de ontvanger geneigd is bevelen van zijn baas op te volgen.
  • Angst en chantage: Sommige phishing-e-mails dreigen met gevolgen (zoals het onthullen van zogenaamd gestolen gevoelige gegevens) als de ontvanger niet doet wat de aanvaller zegt. De angst voor verlegenheid of straf overtuigt de ontvanger om te gehoorzamen.

Phishers hebben veel ervaring met het gebruik van psychologie om hun doel te bereiken. Als een e-mail op enigerlei wijze dwingend overkomt, kan het een phishing-aanval zijn.

5. Verdachte verzoeken

Phishing-e-mails zijn bedoeld om geld, referenties of andere gevoelige informatie te stelen. Als in een e-mail een verzoek of een eis wordt gedaan die ongebruikelijk of verdacht lijkt, kan dit erop wijzen dat de e-mail deel uitmaakt van een phishing-aanval.

Vermoeden van phishing-aanval?

De impact en de kosten van een phishing-aanval op een individu of een organisatie hangen af van de snelheid en de juistheid van de reactie. Bij het vermoeden van een phishing e-mail, neem de volgende stappen:

1. Beantwoord de e-mail niet, klik niet op links en open geen bijlagen. Doe nooit wat een phisher wil. Als er een verdachte link, bijlage of verzoek om een antwoord is, klik er dan niet op, open deze niet en verstuur deze niet.

2. 2. Meld de e-mail aan IT of het beveiligingsteam of bij de bevoegde lokale anti-cybercrime instantie. Phishing-aanvallen maken meestal deel uit van verspreide campagnes, en het feit dat iemand het door heeft, wil niet zeggen dat iedereen het inziet. Meld de e-mail daarom aan het IT- of beveiligingsteam of een lokale bevoegde anti-cybercrime instantie, zodat zij een onderzoek kunnen starten en de schade zo snel mogelijk kunnen beperken.

3. Verwijder de verdachte e-mail. Verwijder na het melden de verdachte e-mail uit je inbox. Dit verkleint de kans dat je er later per ongeluk op klikt.

[Fotocredits – Rawpixel.com © Adobe Stock]

Share this post