Aanvallers proberen mailinglijst van SendGrid-klanten te infiltreren
Een nieuwe phishingcampagne gericht op kleine en middelgrote bedrijven is actief. De aanval maakt gebruik van de e-mailserviceprovider SendGrid om mailinglijsten van klanten te infiltreren en maakt gebruik van gestolen gegevens om phishingmails te versturen. Deze mailtjes maken de criminelen zo authentiek mogelijk om zo ontvangers gemakkelijk te misleiden.
Hiervoor waarschuwt Kaspersky, dat de campagne ontdekte en onderzocht. Cybercriminelen richten zich vaak op mailinglijsten die door bedrijven worden gebruikt om hun klanten te bereiken. Dit biedt mogelijkheden voor spamming, phishing en andere geavanceerde oplichtingspraktijken. Toegang tot legitieme tools voor het verzenden van bulkmails verhoogt de slagingskans van dergelijke aanvallen nog verder. Daarom proberen aanvallers vaak de accounts van bedrijven bij e-mail service providers (ESP's) te compromitteren.
Inspelen op vertrouwen van ontvangers in bekende bronnen
Kaspersky wijst op een phishing-campagne die deze aanvalsmethode verfijnt door gegevens van de SendGrid ESP te verzamelen door phishing e-mails rechtstreeks via de ESP zelf te verzenden. Aanvallers vergroten zo de kans op succes en spelen in op het vertrouwen van ontvangers in communicatie van bekende bronnen. De phishing e-mails lijken afkomstig te zijn van SendGrid, uiten bezorgdheid over de beveiliging en dringen er bij ontvangers op aan om tweefactorauthenticatie (2FA) in te schakelen om hun accounts te beschermen. De link leidt gebruikers echter door naar een frauduleuze website die de SendGrid inlogpagina nabootst, waar de gegevens van de slachtoffers worden verzameld.
Voorbeeld phishingemail
Voor alle e-mailscanners ziet de phishing eruit als een volkomen legitieme e-mail die is verzonden vanaf de servers van SendGrid met legitieme linkjes die verwijzen naar het SendGrid-domein. Het enige dat de ontvanger kan waarschuwen is het adres van de afzender. Dat komt omdat ESP's daar het domein van de echte klant en de mailing ID plaatsen. Een belangrijk teken waaraan de phishingmails herkent kunnen worden is het "sendgreds"-domein van de phishingsite, dat op het eerste gezicht sterk lijkt op het legitieme "sendgrid".
Wat deze campagne volgens Kaspersky bijzonder verraderlijk maakt, is dat de phishingmails de traditionele beveiligingsmaatregelen omzeilen. Omdat ze worden verzonden via een legitieme service en geen duidelijke tekenen van phishing bevatten, kunnen ze automatische filters omzeilen.
'Controleer mail die je ontvangt goed'
"Het gebruik van een betrouwbare e-mailprovider is belangrijk voor de reputatie en veiligheid van bedrijven. Sommige stiekeme oplichters hebben echter geleerd hoe ze betrouwbare diensten kunnen nabootsen - het is dus cruciaal om de e-mails die je ontvangt goed te controleren en, voor een betere bescherming, een betrouwbare cybersecurityoplossing te installeren," zegt Roman Dedenok, een security-expert bij Kaspersky.
ESP's onderwerpen nieuwe klanten aan strenge controles, terwijl oude klanten die al een aantal bulkmails hebben verzonden als betrouwbaar worden beschouwd. Phishers maken daarom meestal gebruik van gekaapte accounts.
Lees meer over deze phishingcampagne op Kaspersky Daily.