Wouter Hoeffnagel - 13 november 2020

Aantal phishing-aanvallen verdubbeld tijdens pandemie

Aantal phishing-aanvallen verdubbeld tijdens pandemie image

Cybercriminelen hebben de afgelopen maanden vol ingezet op phishing-aanvallen, met dank aan de coronapandemie. Het aantal aanvallen nam tijdens de eerste golf toe met 220 procent ten opzichte van het gemiddelde van vorig jaar. Bovendien waren de aanvallen ook een stuk professioneler en geraffineerder.

Dit blijkt uit het Phishing and Fraud Report van F5 Labs. De vierde editie van het jaarlijkse rapport laat zien dat het aantal phishing-incidenten inmiddels met 15 procent jaar-op-jaar stijgt. De eerste golf van de coronapandemie liet echter een grote piek zien, en de verwachting is dat de cijfers ook nu in de tweede golf zullen stijgen. De drie belangrijkste doelen van de coronagerelateerde aanvallen waren donaties aan niet bestaande goede doelen, het verzamelen van inloggegevens en het afleveren van malware.

Digitale certificaten

F5 Labs onderzocht ook logs van een overzicht van alle publieke, digitale certificaten. Het aantal certificaten met termen als covid en corona steeg naar 14.949 in maart, een groeispurt van 1102 procent ten opzichte van een maand eerder. Door gebruik te maken van digitale certificaten neemt de kans op een succesvolle aanval flink toe.

David Warburton, Senior Threat Evangelist bij F5 Labs: “Het risico op phishing is groter geworden, en door het gebruik van certificaten lijken de sites van de fraudeurs legitiem. Aanvallers maken altijd gebruik van emotionele aspecten dus Covid-19 is een dankbaar onderwerp. Uit het onderzoek blijkt dat security controls, gebruikerstrainingen en algemeen bewustzijn nog altijd wereldwijd tekort schieten tegen dit soort methodes.”

Domeinnamen

Fraudeurs zijn nog creatiever geworden in het gebruik van domeinnamen. In de cijfers van 2020 tot nu toe blijkt dat 52 procent van de phishing-sites een merknaam of identiteit in de eigen URL verwerkt. Amazon staat hierbij de laatste maanden bovenaan, gevolgd door Paypal, Apple, WhatsApp, Microsoft Office, Netflix en Instagram.

Door het volgen van actieve aanvallen waarbij accountgegevens werden buitgemaakt, leerde F5 Labs dat gestolen wachtwoorden binnen vier uur na de phishing-aanval al werden uitgeprobeerd. Sommige aanvallen vonden zelfs realtime plaats om in te spelen op multi-factor authenticatie.

Reguliere URL's kapen

Het kapen van normale, weliswaar kwetsbare URL's was ook populair: Wordpress sites namen 20 procent van de algemene phishing-URL’s voor hun rekening. In 2017 was dit nog 4,7 procent. Cybercriminelen letten ook op de eigen kosten door gratis registrars te gebruiken voor bepaalde top level domeinen. Hierbij staat .tk in de top vijf populairste domeinen ter wereld.

Daarnaast is geïnvesteerd in de professionele uitstraling van de frauduleuze sites. Uit F5 SOC statistieken blijkt dat de meeste phishing-sites encryptie toepassen, en 72 procent gebruikt geldige HTTPS-certificaten. Alle drop zones, de bestemmingen van gestolen data, gebruikten TLS-versleuteling. Vorig jaar was dat nog 89 procent. Hierbij werd door iets meer dan de helft (55,3 procent) een niet-standaard SSL/TLS-poort gebruikt, vrijwel altijd poort 446. Phishing-sites gebruikten vooral standaard poorten: 80 voor cleartext HTTP-verkeer en 443 voor versleuteld SSL/TLS-verkeer.

Trends

Volgens Shape Security, dat dit keer na de overname door F5 voor het eerst werd meegenomen in het Phishing and Fraud Report, zijn er twee grote phishing-trends. Doordat er steeds betere beveiliging is tegen botnets stappen aanvallers over op click farms. Hierbij worden tientallen ‘medewerkers’ systematisch ingezet om in te loggen op een website met gestolen gegevens. Doordat de activiteit wordt gezien als ‘menselijk via een standaard web-browser’ wordt deze handeling minder snel gedetecteerd als frauduleus.

Daarnaast groeit het aantal realtime phishing proxies (RTPP) waarmee multi-factor authenticatie codes worden achterhaald. De RTPP handelt als een tussenpersoon en onderschept de interactie van een slachtoffer met een website. Omdat het real-time plaatsvindt, kan het proces geautomatiseerd worden en zelfs tijdgebaseerde authenticatie overnemen.

Het volledige rapport is hier beschikbaar. 

Axians 12/11/2024 t/m 26/11/2024 BN+BW