Sinds vorige week ziet het Security Operations Center van Defenced een nieuwe trend in het gebruik van phishing. Hierbij worden phishing emails verstuurd naar de privé e-mailadressen van medewerkers van een bedrijf, waarbij het lijkt of iemand vanuit het bedrijf de afzender is.
De aanvallen lijkt zich vooralsnog enkel te richten op medewerkers met een LinkedIn-profiel die recent een wijziging in functie of bedrijf hebben aangegeven op LinkedIn.
Het lijkt erop dat de cybercriminelen ervan uitgaan dat er een grote kans is dat er voorafgaand aan bijvoorbeeld een aanname van een nieuwe medewerker is gecommuniceerd via dit privé e-mailadres en dat de medewerker hierdoor dus minder argwaan zal hebben als er mail vanuit het bedrijf binnenkomt.
Phishingaanvallen
Wat we al langer weten, is dat aanvallers 24/7 geautomatiseerd LinkedIn-profielen en bedrijfspagina’s scannen op meldingen van nieuwe medewerkers, wijzigingen in functies, e.d. Vervolgens richten ze phishingaanvallen op de bedrijfse-mailadressen van deze medewerkers, vaak uit naam van de CEO of CFO. Deze phishingmails kenmerken zich meestal door het ontbreken van links in de email, waarbij gevraagd wordt te antwoorden op de email. Als er gereageerd wordt, volgt een conversatie tussen de cybercrimineel en het slachtoffer, waarbij het slachtoffer uiteindelijk wordt verleid om bijvoorbeeld inloggegevens te verstrekken, iets te downloaden en te installeren op het systeem, of om geld over te maken.
Nieuwe trend
De nieuwe trend is nu om een soortgelijke email naar het privé e-mailadres van de medewerker te sturen, waarop de phishing- en spamfilters van de organisatie geen bescherming bieden. De privé e-mailadressen zijn in alle onderzochte gevallen de emailadressen waarmee het LinkedIn-profiel is aangemaakt (waarmee de gebruiker inlogt op LinkedIn). De cybercriminelen bemachtigen deze privé-emailadressen door scripts en tools te gebruiken die deze contactinformatie van LinkedIn schrapen. Binnen LinkedIn kan bij de profielinstellingen worden ingesteld wie de privégegevens kunnen zien. Echter zelfs als staat ingesteld dat alleen eerste graads connecties de gegevens kunnen zien, kunnen dergelijke tools en scripts alsnog deze gegevens vinden.
Hoe te voorkomen
Phishing is nooit volledig te voorkomen. Cybercriminelen verzinnen constant nieuwe methodes en technieken om gebruikers aan te vallen. Technische maatregelen kunnen al veel phishing tegenhouden, maar hebben geen effect op de privé-mailboxen van medewerkers. Wat kan dan wel worden gedaan? Awareness creëren! Maak de medewerkers bewust van de gevaren van phishing en informeer ze ook over de nieuwe trend waarbij de phishing emails naar privé e-mailadressen gestuurd worden. Vertel ze ook dat de CEO/CFO uit de organisatie nooit contact zal zoeken via het privé-emailadres van de medewerker.