Cybercriminelen zetten in op phishing, malware en arbeidsfraude tijdens feestdagen

Hiervoor waarschuwt Proofpoint. Een voorbeeld is de “Winter Holiday Promotion”-campagne van 18 november, waarbij aanvallers zich voordeden als een luchtvaartmaatschappij. Deze campagne gebruikte berichten in Spaans en Engels om de Remcos RAT-malware te verspreiden via gecomprimeerde bestanden.

Veel phishingaanvallen

Phishingaanvallen zijn het meest voorkomend en vaak gericht op werknemers met berichten over bonussen of salarisadministratie. In een campagne van 9 december werden berichten verzonden die waren voorzien van bedrijfslogo’s en een QR-code die gebruikers naar een valse Microsoft-verificatiepagina leidde.

Deze pagina verzamelde inloggegevens, 2FA-tokens en sessiecookies met behulp van Adversary-in-the-Middle (AiTM)-technieken. Een vergelijkbare campagne op 12 december gebruikte de SakaiPages phishingkit en misleidde gebruikers door zich voor te doen als HR-afdelingen die bonussen en salarisinformatie verstrekten.

Naast phishing ontdekten onderzoekers ook arbeidsfraude. Op 10 december werd een campagne gedetecteerd waarin aanvallers zich voordeden als Project HOPE, met valse vacatures voor “Community Liaison Agents”. Deze fraude richtte zich op het stelen van geld, persoonlijke informatie of het betrekken van slachtoffers bij illegale activiteiten zoals witwassen. Cybercriminelen maken tijdens de feestdagen gebruik van sociale engineering, inspelend op de urgentie en emoties van mensen. Hierdoor nemen slachtoffers risicovolle beslissingen, zoals het delen van persoonlijke informatie of het klikken op verdachte links.

SakaiPages

Op 12 december 2024 ontdekten onderzoekers een AiTM-phishingcampagne die inspeelde op eindjaars- en feestdagenthema's. De berichten leken afkomstig van het HR-team van het doelwit en gingen over salarisadministratie en bonussen.

De e-mails bevatten aangepaste Microsoft Word-bijlagen met een QR-code. Wanneer gebruikers de QR-code scanden, werden ze doorgestuurd naar een vervalste Microsoft-verificatiepagina. Hier werden ingevoerde e-mailadressen gebruikt om de inlogpagina van Azure Active Directory (AAD) van de organisatie na te bootsen. De phishingpagina verzamelde gebruikersgegevens, tweefactorauthenticatietokens en sessiecookies via de SakaiPages phishingkit.

Arbeidsfraude met baanaanbiedingen tijdens feestdagen

Op 10 december 2024 ontdekte Proofpoint een arbeidsfraudecampagne die zich voordeed als afkomstig van de non-profitorganisatie Project HOPE. In de campagne werden valse vacatures aangeboden voor de rol van "Community Liaison Agents," met nadruk op extra inkomsten tijdens de feestdagen. De e-mails, vermoedelijk verzonden via gecompromitteerde accounts, bevatten een contact e-mailadres in de hoofdtekst.

Dergelijke campagnes proberen persoonlijke informatie te verzamelen, mensen onbewust bij illegale activiteiten te betrekken of geld te stelen via frauduleuze methoden, zoals vooruitbetalingsfraude of cryptotransacties. In dit geval speelden de dreigingsactoren in op de verhoogde behoefte aan financiële zekerheid en werkgelegenheid rond de feestdagen.

Frauduleuze vacatures

Arbeidsfraude ontstaat wanneer een dreigingsactor iemand probeert te misleiden met een nepbaanaanbod. Deze frauduleuze vacatures worden gebruikt om geld te stelen via vooruitbetalingsfraude (AFF) of cryptocurrency, persoonlijke informatie (PII) te verzamelen, of mensen onbewust te betrekken bij illegale activiteiten zoals witwassen. In dit geval combineert de dreigingsactor bekende technieken voor arbeidsfraude met een thema dat aantrekkelijk is tijdens de feestdagen.

Gedurende de feestdagen richten criminelen zich met social engineering op mensen die op zoek zijn naar cadeaus, aanbiedingen of financiële extra's, of die werkgerelateerde mededelingen verwachten. Ze gebruiken overtuigende lokmiddelen die inspelen op tijdsdruk en de bereidheid om geld of informatie te delen, wat vaak leidt tot risicovolle beslissingen online.

Lees het volledige onderzoek hier.