Op 12 en 13 juli is het Amazon Prime Day, het jaarlijkse kortingsevent van Amazon. Online shoppers zijn op jacht naar eenmalige aanbiedingen en houden het web nauwlettend in de gaten voor nieuwe verrassingen. Cybercriminelen volgen deze trend op de voet en scherpen ook hun eigen verrassingstactieken aan. Amazon-gerelateerde phishing komt het hele jaar door voor, en het bedrijf staat vaak in de top van geïmiteerde merken, maar rond Prime Day is er een toename van activiteit. Check Point Research (CPR) analyseert cyberdreigingen in verband met deze dag, zowel in de weken die eraan voorafgaan als tijdens het evenement zelf, en ziet tekenen van kwaadaardige Prime Day-phishingcampagnes en nepwebsites.
In de eerste week van juli zag CPR een toename van 37 procent in dagelijkse Amazon-gerelateerde phishingaanvallen, vergeleken met het dagelijkse gemiddelde in juni. Het team vond ook ongeveer 1.900 nieuwe domeinen met de term ‘amazon’ en 9,5 procent daarvan bleek riskant te zijn, ofwel kwaadaardig of verdacht.
In de weken voorafgaand aan Prime Day 2021 werden er nog eens 2.303 nieuwe Amazon-gerelateerde domeinen ontdekt, waarvan de meeste (78 procent) riskant werden bevonden. De onderzoekers denken dat de daling dit jaar deels kan worden verklaard doordat cybercriminelen niet altijd de volledige term “amazon” hebben opgenomen in het domein dat wordt geregistreerd voor phishingdoeleinden om detectie te voorkomen. Bovendien zouden deze cybercriminelen deze domeinen kunnen gebruiken voor een later gebruik, en willen ze niet dat ze inhoud bevatten die als kwaadaardig kan worden beschouwd.
Phishers gebruiken allerlei technieken om hun schadelijke e-mails er legitiem uit te laten zien. Dit zijn enkele van de meest gebruikte technieken:
Een van de meest gebruikte technieken in phishing-e-mails zijn lookalike- of nepdomeinen die op het eerste gezicht een legitiem of vertrouwd domein lijken te zijn. In plaats van het e-mailadres boss@company.com kan een phishing-e-mail bijvoorbeeld boss@cornpany.com gebruiken. De ‘rn’ werd vervangen door een ‘m’ en hoewel deze e-mail op de echte lijkt, behoort deze tot een heel ander domein dat onder controle van de aanvaller kan staan.
Phishers kunnen in hun aanvallen ook valse maar plausibele domeinen gebruiken. Een e-mail die beweert van Netflix te zijn, kan bijvoorbeeld van help@netflix-support.com zijn. Hoewel dit e-mailadres legitiem lijkt, is het niet noodzakelijkerwijs eigendom van of verbonden aan Netflix.
Vaak worden phishing-e-mails niet geschreven door mensen die de taal vloeiend spreken. Dit betekent dat deze e-mails grammaticale fouten kunnen bevatten of verkeerd klinken. Echte e-mails van een legitieme organisatie zullen deze fouten waarschijnlijk niet bevatten, dus ze zouden een waarschuwing moeten zijn voor een potentiële phishing-aanval.
Iets anders om op te letten zijn e-mails met een verkeerde toon of stem. Bedrijven, collega’s, enz. praten en schrijven op een bepaalde manier. Als een e-mail te formeel of te informeel klinkt, stijfjes, of vreemd gezien de afzender, dan kan het een phishing e-mail zijn.
Een veelvoorkomend doel van phishing-e-mails is om de ontvanger ertoe te verleiden bijgevoegde malware te downloaden en uit te voeren op hun computer. Om dit te laten werken, moet de e-mail een bestand bevatten dat in staat is uitvoerbare code uit te voeren.
Daarom kunnen phishing-e-mails ongebruikelijke of verdachte bijlagen bevatten. Een zogenaamde factuur kan bijvoorbeeld een ZIP-bestand zijn of een Microsoft Office-document kan vereisen dat macro’s zijn ingeschakeld om de inhoud te bekijken. Als dit het geval is, is het waarschijnlijk dat de e-mail en de bijlagen kwaadaardig zijn.
Phishing-e-mails zijn bedoeld om de ontvanger ervan te overtuigen iets te doen wat niet in zijn of haar belang is (gevoelige informatie weggeven, malware installeren, enz.). Om dit te bekomen, gebruiken phishers vaak psychologische trucs in hun campagnes, zoals:
Phishers hebben veel ervaring met het gebruik van psychologie om hun doel te bereiken. Als een e-mail op enigerlei wijze dwingend overkomt, kan het een phishing-aanval zijn.
Phishing-e-mails zijn bedoeld om geld, referenties of andere gevoelige informatie te stelen. Als in een e-mail een verzoek of een eis wordt gedaan die ongebruikelijk of verdacht lijkt, kan dit erop wijzen dat de e-mail deel uitmaakt van een phishing-aanval.
De impact en de kosten van een phishing-aanval op een individu of een organisatie hangen af van de snelheid en de juistheid van de reactie. Bij het vermoeden van een phishing e-mail, neem de volgende stappen:
1. Beantwoord de e-mail niet, klik niet op links en open geen bijlagen. Doe nooit wat een phisher wil. Als er een verdachte link, bijlage of verzoek om een antwoord is, klik er dan niet op, open deze niet en verstuur deze niet.
2. 2. Meld de e-mail aan IT of het beveiligingsteam of bij de bevoegde lokale anti-cybercrime instantie. Phishing-aanvallen maken meestal deel uit van verspreide campagnes, en het feit dat iemand het door heeft, wil niet zeggen dat iedereen het inziet. Meld de e-mail daarom aan het IT- of beveiligingsteam of een lokale bevoegde anti-cybercrime instantie, zodat zij een onderzoek kunnen starten en de schade zo snel mogelijk kunnen beperken.
3. Verwijder de verdachte e-mail. Verwijder na het melden de verdachte e-mail uit je inbox. Dit verkleint de kans dat je er later per ongeluk op klikt.
[Fotocredits – Rawpixel.com © Adobe Stock]
