De opkomst van het dark web heeft heel wat veranderd voor criminelen. Hoewel het lange tijd een veilige haven voor het kopen en verkopen van drugs, wapens, valse identiteiten en vertrouwelijke gegevens was, blijkt uit nieuw onderzoek dat er ook steeds meer geavanceerde phishingkits worden aangeboden.
Niet dat phishing een nieuw verschijnsel is; de praktijk bestaat al bijna even lang als e-mail zelf en is altijd een belangrijk onderdeel geweest van de toolkit van cybercriminelen. Hoewel de risico's van phishing vrij breed bekend zijn, blijft het een van de meest voorkomende vormen van cyberaanvallen. In sommige rapporten wordt gesteld dat 91% van de cyberaanvallen en datalekken begint met een phishingbericht.
Gezamenlijk onderzoek door CyberInt en Check Point onthult een nog meer zorgwekkende trend. Met de nieuwe kits die op het dark web te koop worden aangeboden, kan vrijwel iedereen, zelfs mensen met een relatief beperkte technische kennis, zelf een phishingaanval uitvoeren. Door de beschikbaarheid van dergelijke eenvoudige tools zouden zulke kits tot een ongeziene toename van het aantal phishingaanvallen kunnen leiden.
Voordat ik de sappige details van de nieuwe phishingkits bespreek, wil ik jullie er nog even aan herinneren hoe schadelijk phishing kan zijn.
Phishing: een geheugensteuntje
U bent het waarschijnlijk beu om weer een artikel te lezen over phishing aanvallen en hoe u deze kunt voorkomen. Gidsen over hoe u zichzelf tegen dergelijke aanvallen kunt beschermen, zijn terug te vinden op elke gerenommeerde (en sommige minder respectabele) cyberbeveiligingswebsite. Bijna iedereen weet min of meer hoe dergelijke aanvallen werken en denkt te weten hoe deze kunnen worden voorkomen.
Gezien de grote hoeveelheid beschikbare informatie en de lengte van de periode dat gebruikers en bedrijven zich bewust zijn van de risico's van phishing, bestaat echter het gevaar dat vertrouwdheid tot zelfgenoegzaamheid leidt. Het aantal phishingaanvallen blijft nog steeds toenemen en de aanvallen worden steeds geavanceerder.
Hoewel de gevolgen van een phishingaanval rampzalige gevolgen kunnen hebben voor individuen, is het ook belangrijk erop te wijzen dat kleine en middelgrote bedrijven elk jaar miljarden dollars verliezen ten gevolge van phishingaanvallen. Bovendien zijn phishingaanvallen gerichter geworden, met ‘spear phishing’ – bijzonder gepersonaliseerde aanvallen die vaak uitsluitend gericht zijn op machtige personen – als stijgende trend.
Phishing voor iedereen
Het meest verontrustende aan de nieuwe phishingkits die CyberInt en Check Point hebben ontdekt, is echter dat ze deze complexe technieken voor iedereen beschikbaar maken, zelfs mensen met een beperkte technische kennis.
Phishingkits zijn al jarenlang verkrijgbaar op het dark web en zijn een relatief goedkope optie voor de potentiele cybercrimineel. Typische kits kosten $20 - $50 per keer en beloven basisgegevens van hun slachtoffers te verzamelen, zoals algemene wachtwoorden of andere eenvoudige informatie waarmee een meer geavanceerde aanval kan worden opgezet.
De nieuw ontdekte kit is van een heel andere orde en kost aanzienlijk meer. De kit werd ontwikkeld door een gebruiker met de naam [A]pache en biedt een volledige (en echt uitziende) site om de financiële gegevens van slachtoffers te verzamelen. De complexiteit van de software brengt een bijbehorende hogere prijs met zich mee: ongeveer 300 dollar.
Voor dat bedrag krijgt u echter waar voor uw geld. Met de phishingkit kunt u een aantal valse sites bouwen die vrij goede kopieën zijn van een aantal bekende e-commerce portalen. Hoewel de kit hoofdzakelijk gericht is op Braziliaanse detailhandelaars, kunnen criminelen ook de site van Walmart of andere Amerikaanse bedrijven namaken. De resultaten zijn echt heel goed:
Bron van afbeelding: https://research.checkpoint.com/a-phishing-kit-investigative-report/
Met de kit kan zelfs een onervaren aanvaller een valse website bouwen en vullen met 'te koop aangeboden' artikelen. De kit bevat zelfs advies voor potentiele aanvallers om hun valse producten een competitieve prijs te geven en heeft een scherm voor het 'beheer van slachtoffergegevens' waar financiële gegevens verzameld kunnen worden, zoals Check Point aantoont.
Of deze kit, en andere vergelijkbare kits, een succes zullen zijn, is afwachten. Het onderzoeksrapport bevat geen informatie over hoeveel kits verkocht zijn. Omdat Check Point erin slaagde om de Twitter-account van de auteur te traceren, verwachten we dat deze snel offline zal worden gehaald als kan worden bewezen – en dit is een grote 'als' – dat [A]pache een misdaad heeft begaan in Brazilië.
Wat het resultaat ook zal zijn, de samenstelling van deze phishingkit suggereert dat dergelijke geavanceerde kits de komende tijd waarschijnlijk meer aangeboden zullen worden.
Uzelf beschermen
Wat kunt u doen om uzelf hiertegen te beschermen?
Als u het beu bent om artikelen te lezen over phishing in het algemeen, kent u waarschijnlijk wel een aantal strategieën waarmee u uzelf, uw gegevens en uw bedrijf kunt beschermen. Hoewel kits zoals die van [A]pache steeds complexer worden, blijft de beste manier om phishingaanvallen te voorkomen dezelfde: leer hoe u een phishingbericht herkent, leer hoe u een valse website herkent en voer phishingsimulaties uit om uw kennis in de praktijk te testen.
Daarnaast moet u controleren of de sites die u beheert bestand zijn tegen phishingaanvallen. Hoewel de diefstal van uw eigen gegevens een persoonlijke ramp kan zijn, kan verantwoordelijk zijn voor de diefstal van de gegevens van uw klanten grotere gevolgen hebben, met mogelijk zelfs juridische sancties. Daarom is het zo belangrijk dat u leert hoe u uw klanten kunt beschermen tegen phishingaanvallen.
Wat deze nieuwe phishingkits ons vooral leren, is dat het loont om waakzaam te zijn voor nieuwe aanvallen, zelfs als we het beu zijn om telkens weer over dezelfde oude technieken te lezen.