Cybersecurityonderzoekers van Palo Alto Networks Unit 42 hebben gewaarschuwd voor een toename in phishingcampagnes die misbruik maken van vernieuwingsvermeldingen in HTTP-headers. Deze campagnes leveren vervalste e-mailinlogpagina’s die zijn ontworpen om gebruikersgegevens te stelen.

In tegenstelling tot traditionele phishing, waarbij HTML-inhoud wordt gebruikt, maken deze aanvallen gebruik van de responseheader die door een server wordt verzonden voordat de HTML-inhoud wordt verwerkt. Volgens de onderzoekers Yu Zhang, Zeyu You en Wei Wang zorgen kwaadaardige links ervoor dat een browser automatisch een webpagina herlaadt zonder dat de gebruiker iets hoeft te doen.

Grootschalige activiteiten

Tussen mei en juli 2024 zijn wereldwijd grote bedrijven, overheidsinstanties en scholen het doelwit geweest van deze nieuwe aanvalsmethode. Er zijn maar liefst 2.000 kwaadaardige URL’s geïdentificeerd die verband houden met deze campagnes. Bijna 36% van de aanvallen was gericht op de zakelijke en economische sector, terwijl andere doelwitten onder meer de financiële dienstverlening (12,9%), de overheid (6,9%) en de gezondheidszorg (5,7%) omvatten.

Geavanceerde aanvalstactieken

Een van de belangrijkste kenmerken van deze phishingcampagnes is het gebruik van kwaadaardige links die zijn ingebed in de ‘Refresh response header’. Deze links bevatten de e-mailadressen van de beoogde slachtoffers, die vervolgens worden doorverwezen naar vervalste inlogpagina’s waar hun e-mailadres al is ingevuld. Dit geeft de phishingpoging een schijn van legitimiteit, waardoor nietsvermoedende gebruikers eerder geneigd zijn om hun wachtwoord in te voeren.

De aanvallers maken bovendien gebruik van legitieme domeinen en URL-verkortingsdiensten, waardoor hun phishingwebsites moeilijk te onderscheiden zijn van echte sites. Dit vergroot de kans op succesvolle diefstal van inloggegevens aanzienlijk. De onderzoekers benadrukken dat deze geavanceerde strategieën zijn ontworpen om detectie te voorkomen en gebruikers te misleiden.

De groei van Business Email Compromise

Phishing en Business Email Compromise (BEC) zijn populaire tactieken onder cybercriminelen die gericht zijn op het stelen van informatie en financieel gewin. Volgens de Amerikaanse FBI hebben BEC-aanvallen tussen 2013 en 2023 naar schatting wereldwijd 55,49 miljard dollar aan schade veroorzaakt. Meer dan 305.000 gevallen van dergelijke aanvallen zijn gemeld, wat de schaal en ernst van het probleem benadrukt.

Nieuwe bedreigingen via deepfakes en geautomatiseerde tools

Naast de phishingcampagnes is er een toename van deepfake-video’s waarin publieke figuren, CEO’s en regeringsfunctionarissen worden ingezet voor frauduleuze investeringsregelingen, zoals Quantum AI. Deze video’s worden massaal verspreid via sociale media en leiden slachtoffers naar websites waar ze worden gevraagd om geld te investeren.

Een andere verontrustende ontwikkeling is de opkomst van bedreigingsactoren zoals “Greasy Opal”, een Tsjechisch bedrijf dat sinds 2009 actief is en geautomatiseerde CAPTCHA-oplossingsdiensten aanbiedt. Deze diensten helpen cybercriminelen bij het omzeilen van beveiligingsmaatregelen en het uitvoeren van massale aanvallen, zoals het aanmaken van valse accounts en het verspreiden van spam. Het bedrijf heeft naar schatting $1,7 miljoen aan inkomsten gegenereerd in 2023 door zijn diensten aan te bieden aan andere criminele groepen.

Conclusie

Deze recente ontwikkelingen tonen aan hoe cybercriminelen steeds geavanceerdere technieken gebruiken om detectie te omzeilen en hun aanvallen te laten slagen. Organisaties moeten extra waakzaam zijn en hun cybersecurity maatregelen blijven versterken om te voorkomen dat gevoelige gegevens in verkeerde handen vallen.