Phishing via e-mail service providers: nieuwe oplichtingspraktijken gericht op mkb’ers

  Een nieuwe phishingcampagne gericht op kleine en middelgrote bedrijven is door Kaspersky aan het licht gebracht. De aanval maakt gebruik van de e-mailserviceprovider SendGrid om mailinglijsten van klanten te infiltreren en maakt gebruik van gestolen gegevens om phishingmails te versturen. Deze mailtjes maken de criminelen zo authentiek mogelijk om zo ontvangers gemakkelijk te misleiden.  

Cybercriminelen richten zich vaak op mailinglijsten die door bedrijven worden gebruikt om hun klanten te bereiken. Dit biedt mogelijkheden voor spamming, phishing en andere geavanceerde oplichtingspraktijken. Toegang tot legitieme tools voor het verzenden van bulkmails verhoogt de slagingskans van dergelijke aanvallen nog verder. Daarom proberen aanvallers vaak de accounts van bedrijven bij e-mail service providers (ESP’s) te compromitteren. Kaspersky heeft een phishing-campagne ontdekt die deze aanvalsmethode verfijnt door gegevens van de SendGrid ESP te verzamelen door phishing e-mails rechtstreeks via de ESP zelf te verzenden.  

Door phishingmails rechtstreeks via de ESP te versturen, vergroten aanvallers de kans op succes en maken ze gebruik van het vertrouwen van ontvangers in communicatie van bekende bronnen. De phishing e-mails lijken afkomstig te zijn van SendGrid, uiten bezorgdheid over de beveiliging en dringen er bij ontvangers op aan om tweefactorauthenticatie (2FA) in te schakelen om hun accounts te beschermen. De link leidt gebruikers echter door naar een frauduleuze website die de SendGrid inlogpagina nabootst, waar de gegevens van de slachtoffers worden verzameld.
Voorbeeld Phishing email  
Voor alle e-mailscanners ziet de phishing eruit als een volkomen legitieme e-mail die is verzonden vanaf de servers van SendGrid met ligitieme linkjes die verwijzen naar het SendGrid-domein. Het enige dat de ontvanger kan waarschuwen is het adres van de afzender. Dat komt omdat ESP’s daar het domein van de echte klant en de mailing ID plaatsen. Een belangrijk teken van fraude is het “sendgreds”-domein van de phishingsite, dat op het eerste gezicht sterk lijkt op het legitieme “sendgrid”, wat dient als een subtiel maar belangrijk waarschuwingsteken.  

Wat deze campagne bijzonder verraderlijk maakt, is dat de phishing e-mails de traditionele beveiligingsmaatregelen omzeilen. Omdat ze worden verzonden via een legitieme service en geen duidelijke tekenen van phishing bevatten, kunnen ze worden omzeild door automatische filters. “Het gebruik van een betrouwbare e-mailprovider is belangrijk voor de reputatie en veiligheid van bedrijven. Sommige stiekeme oplichters hebben echter geleerd hoe ze betrouwbare diensten kunnen nabootsen – het is dus cruciaal om de e-mails die je ontvangt goed te controleren en, voor een betere bescherming, een betrouwbare cybersecurityoplossing te installeren,” zegt Roman Dedenok, een security-expert bij Kaspersky.  

Meestal maken phishers gebruik van gekaapte accounts, omdat ESP’s nieuwe klanten aan strenge controles onderwerpen, terwijl oude klanten die al een aantal bulkmails hebben verzonden als betrouwbaar worden beschouwd.  
Lees meer over deze phishingcampagne op Kaspersky Daily .