De stille ontwikkeling van phishing technieken in 2019 door Microsoft

De slimste phishing trucs van dit jaar zijn het kapen van zoekresultaten van Google en misbruik maken van 404-foutpagina’s.

Eerder deze maand bracht Microsoft een rapport uit over de malware- en cyberbeveiligings trends van dit jaar. Een van de weinige trends die in het rapport werden benadrukt, was dat phishing een van de weinige aanvalsvectoren was die de afgelopen twee jaar een toename van activiteit zag.

Microsoft zei dat phishing-pogingen groeiden van minder dan 0,2% in januari 2018 tot ongeveer 0,6% in oktober 2019, waarbij 0,6% het percentage phishing-e-mails vertegenwoordigde dat werd gedetecteerd in het totale aantal e-mails dat Microsoft analyseerde.

Bron: Microsoft

Terwijl phishing aanvallen toe namen, daalde het aantal ransomware, cryptomining en andere malware infecties, zei het bedrijf destijds .

In een blogpost die woensdag 11 december is gepubliceerd, heeft de technologiegigant uit Redmond drie van de slimmere phishing-aanvallen besproken die het dit jaar heeft gezien.

Zoekresultaten Kapen

De eerste is een gelaagde malware-operatie waardoor een criminele bende de zoekresultaten van Google heeft vergiftigd. De regeling ging als volgt:

  • Oplichters hebben webverkeer gekaapt van legitieme sites naar websites die zij beheerden;
  • De domeinen werden het beste Google zoekresultaat voor zeer specifieke voorwaarden;
  • Phishers stuurden e-mails naar slachtoffers die het Google-zoekresultaat voor die specifieke term koppelden;
  • Als het slachtoffer op de Google link klikte met het beste resultaat, zouden ze op een door een aanvaller gecontroleerde website terechtkomen;
  • Deze website zou de gebruiker vervolgens omleiden naar een phishing pagina;
fig1-phishing-vergiftigd-search-results.png
Afbeelding: Microsoft

Met behulp van deze techniek konden phishers phishing-e-mails verzenden die alleen legitieme URL’s bevatten (bijvoorbeeld een link naar zoekresultaten) en een vertrouwd domein, bijvoorbeeld:

hxxps: // www [.] google [.] ru / # btnI & q =% 3Ca% 3EhOJoXatrCPy% 3C / a% 3E

hxxps: // www [.] google [.] ru / # btnI & q =% 3Ca% 3EyEg5xg1736iIgQVF% 3C / a% 3E

De campagne werd nog geheimzinniger gemaakt door het gebruik van locatiespecifieke zoekresultaten. Bij toegang door gebruikers in Europa leidde de phishing URL naar de redirector-website c77684gq [.] Beget [.] Tech , en uiteindelijk naar de phishing-pagina. Buiten Europa leverde dezelfde URL geen zoekresultaten op.

U zou denken dat het wijzigen van de zoekresultaten van Google gigantisch veel moeite kost, maar dit was eigenlijk vrij eenvoudig, omdat aanvallers zich niet op trefwoorden met veel verkeer richtten, maar zich in plaats daarvan concentreerden op wartaal zoals ‘hOJoXatrCPy’.

Bovendien zei Microsoft:

“de campagne werd nog geheimzinniger gemaakt door het gebruik van locatiespecifieke zoekresultaten.”

“Bij toegang door gebruikers in Europa leidde de phishing-URL naar de redirector-website c77684gq [.] Beget [.] Tech, en uiteindelijk naar de phishing-pagina. Buiten Europa leverde dezelfde URL geen zoekresultaten op,”

aldus Microsoft.

Misbruik Van 404-Foutpagina’s

Een andere slimme truc die dit jaar door phishers werd gebruikt, werd voor het eerst opgemerkt in een phishing campagne die Microsoft in augustus ontdekte en die in deze Twitter-thread vastlegde .

Bron: Microsoft

Deze campagne is sluw van slimheid.

Hoewel de meeste phishing-e-mails een link bevatten naar de phishing URL waarnaar ze gebruikers willen lokken, bevatten aanvallers voor deze campagne ook links die naar niet-bestaande pagina’s wezen.

Wanneer de beveiligingssystemen van Microsoft de link scannen, kregen ze een 404 foutmelding terug omdat de link niet bestaat en zou Microsoft de link als veilig beschouwen.

Als een echte gebruiker de URL echter zou openen, zou de phishing site de gebruiker detecteren en deze omleiden naar een werkelijke phishing pagina in plaats van de standaard 404 foutpagina van de server.

fig7-phishing-microsoft-rendering-site.png
Bron: Microsoft

Microsoft zei dat wanneer deze truc werd gekoppeld aan technieken zoals algoritmen voor het genereren van subdomeinen en het regelmatig wijzigen van het hoofddomein, aanvallers ‘vrijwel onbeperkte phishing-URL’s‘ konden genereren.

Redirector code
Bron: Microsoft

Omdat de verkeerd ingedeelde 404-pagina wordt weergegeven op een niet-bestaande URL in een door een aanvaller beheerd domein, kunnen de phishers willekeurige URL’s gebruiken voor hun campagnes. We zagen bijvoorbeeld dat deze twee URL’s werden gebruikt in phishing campagnes; de aanvallers voegden een enkel karakter toe aan het tweede om een ​​nieuwe URL te genereren maar dezelfde phishing-pagina te tonen:

  • hxxps: [.] [.] // skype-online8024 web app / 8cc1083b0ffdf1e5b9594c045c825b02d41d8cd98f00b204e9800998ecf8427e # ZG1jY2FubkBtb3Jicm9zLmNvbQ
  • hxxps: [.] [.] // skype-online8024 web app / 8cc1083b0ffdf1e5b9594c045c825b02d41d8cd98f00b204e9800998ecf8427e # ZG1jY2FubkBtb3Jicm9zLmNvbQs

We hebben ook vastgesteld dat de aanvallers gerandomiseerde domeinen hebben, waardoor het aantal phishing-URL’s exponentieel is toegenomen:

  • outlookloffice365usertcph4l3q [.] web [.] app
  • outlookloffice365userdqz75j6h [.] web [.] app
  • outlookloffice365usery6ykxo07 [.] web [.] app

Al deze niet-bestaande URL’s retourneerden de 404-foutpagina, dat wil zeggen de phishing-pagina:

 Wanneer toegang tot phishing-URL wordt verkregen, reageert de server met het HTTP 404-foutbericht, een phishing-pagina
Bron: Microsoft

Man in the Middle (MitM) Gebaseerde Phishing

Een derde phishing-truc die Microsoft dit jaar als een slimme phishing aanval wilde benadrukken, was een die gebruik maakte van een man-in-the-middle-server (MitM). Microsoft legt uit:

“Eén specifieke phishing-campagne in 2019 bracht imitatie naar een hoger niveau. In plaats van dat aanvallers elementen van de vervalste legitieme website kopieerden, legde een man-in-the-middle-component bedrijfsspecifieke informatie zoals logo’s, banners, tekst en achtergrondafbeeldingen vast De rendering-site van Microsoft. […] Het resultaat was exact dezelfde ervaring als de legitieme aanmeldingspagina, wat het vermoeden aanzienlijk kon verminderen. “

Deze op MitM gebaseerde techniek is echter niet perfect, omdat de URL van de phishing-site nog steeds zichtbaar is in de adresbalk, net als op elke andere phishing-site.

Dit betekent dat zelfs als gebruikers kunnen worden misleid door de perfect ogende inlogpagina, ze rampen kunnen voorkomen door de URL van de pagina nauwkeurig te inspecteren.

Bron: Microsoft

Nieuw EU onderzoek naar de gegevens verzameling methoden van Google

Logo: Google.com

Herhaaldelijk is Google het doelwit van recordboetes door de Europese Mededingingscommissie, nu wordt het bedrijf opnieuw onderzocht door de EU, zo heeft Reuters kunnen bevestigen.

Een naamloze EU-functionaris vertelde aan Reuters dat de bezorgdheid vooral te maken heeft met de gegevensverzamelingspraktijken van Google.

“De Commissie heeft vragenlijsten gestuurd als onderdeel van een voorlopig onderzoek naar de praktijken van Google met betrekking tot het verzamelen en gebruiken van gegevens door Google. Het voorlopige onderzoek loopt nog”,

zei de EU-regulator.

De vragenlijsten van het Google antitrustonderzoek zijn gericht op gegevens met betrekking tot lokale zoekservices, online advertenties, online advertentietargetingservices, inlogservices, webbrowsers en andere.

Google heeft de afgelopen twee jaar al meer dan 8 miljard euro aan boetes verdiend, waardoor het voor het bedrijf moeilijk is om de boetes gewoon af te schrijven als de kosten van het zakendoen. Google en de EU zijn al drie keer eerder met elkaar in botsing gekomen.

Ze kregen in maart van dit jaar een boete van 1,5 miljard euro opgelegd voor het dwingen van AdSense-klanten om een ​​contract te ondertekenen dat de klanten op hun beurt weer verbood zaken te doen met rivaliserende zoekbedrijven.

Daarvoor werd het bedrijf getroffen met een totaal van € 6,7 miljard (€ 2,4 miljard in 2017 en vervolgens € 4,34 miljard vorig jaar wegens misbruik van de Android-dominantie en het dwingen van bedrijven om hun apps te installeren ).

Logo: EU

De EU-antitrustcommissaris Margrethe Vestager zei dat de EU-commissie het bedrijfsmodel van Google nauwlettend in de gaten houdt.

“We krijgen steeds klachten van mensen die zich zorgen maken over hoe deze markten werken, dus we zullen ons werk blijven doen. Voor mij is het belangrijkste hier om gebruikerskeuze mogelijk te maken. ”

In een reactie op het nieuwe antitrustonderzoek van Google zei het bedrijf op zijn beurt dat het gegevens gebruikt om zijn diensten te verbeteren en dat gebruikers hun gegevens op elk gewenst moment kunnen beheren, verwijderen en overdragen.

Pin It on Pinterest