Volgens onderzoek van Egress had in 2023 maar liefst 94 procent van de bedrijven last van phishingaanvallen. Dat is een stijging van 40 procent ten opzichte van het jaar ervoor.
Wat zit er achter de toename van phishing? Een populair antwoord is AI – met name generatieve AI, die het voor dreigingsactoren triviaal makkelijker heeft gemaakt om content te maken die ze kunnen gebruiken in phishingcampagnes, zoals kwaadaardige e-mails en, in meer geavanceerde gevallen, deepfake-video’s. Daarnaast kan AI helpen bij het schrijven van de malware die dreigingsactoren vaak op de computers en servers van hun slachtoffers planten als onderdeel van phishingcampagnes.
Phishing as a Service, of PhaaS, is een andere ontwikkeling die soms wordt aangehaald om uit te leggen waarom phishingdreigingen ongekend hoog zijn. Door kwaadwillende partijen in staat te stellen om bekwame aanvallers in te huren om phishingcampagnes voor hen uit te voeren, maakt PhaaS het voor iedereen met een wrok – of een verlangen om wat geld van nietsvermoedende slachtoffers te stelen – gemakkelijk om phishingaanvallen te lanceren.
Phishing is behendig geworden
Om echt te begrijpen wat er achter de toename van phishing zit, is een analyse nodig van de manier waarop kwaadwillende partijen AI en PhaaS gebruiken om op nieuwe manieren te opereren, met name door sneller te reageren op veranderende gebeurtenissen.
In het verleden was het voor dreigingsactoren lastig om te profiteren van onverwachte gebeurtenissen om impactvolle campagnes te lanceren, vanwege de tijd en moeite die nodig was om handmatig phishingcontent te maken (in plaats van generatieve AI te gebruiken). Ook groepen die een organisatie wilden targeten met phishing, hadden vaak geen snelle en gemakkelijke manier om een aanval op gang te brengen, zonder PhaaS-oplossingen. Recente ontwikkelingen suggereren echter dat dit verandert.
Bekijk de trending phishing- en impersonatie-TTP’s in The Phishing & Impersonation Protection Handbook
Phishingaanvallen gericht op evoluerende gebeurtenissen
Phishing heeft de gewoonte om zich vast te klampen aan actuele gebeurtenissen in de wereld om te profiteren van de opwinding of angst rondom deze gebeurtenissen. Dit geldt met name als het gaat om evoluerende gebeurtenissen, zoals de CrowdStrike “Blue Screen of Death” (BSOD).
Phishing in de nasleep van de CrowdStrike BSOD
Cybersecurityleverancier CrowdStrike bracht op 19 juli een buggy update uit waardoor Windows-computers niet meer goed konden opstarten en gebruikers te maken kregen met het beruchte Blue Screen of Death (BSOD).
CrowdStrike loste het probleem relatief snel op, maar niet voordat dreigingsactoren phishingcampagnes waren begonnen te lanceren die waren ontworpen om te profiteren van individuen en bedrijven die een oplossing zochten voor de storing. Binnen de eerste dag na het CrowdStrike-incident detecteerde Cyberint 17 typo-squatting-domeinen die ermee te maken hadden. Minstens twee van deze domeinen kopieerden en deelden Crowdstrike’s tijdelijke oplossing in wat blijkbaar een poging was om donaties te werven via PayPal. Door de breadcrumbs te volgen, traceerde Cyberint de donatiepagina naar een software-engineer genaamd Aliaksandr Skuratovich, die de website ook op zijn LinkedIn-pagina plaatste.
Pogingen om winst te maken door donaties te verzamelen voor een oplossing die ergens anders vandaan kwam, behoorden tot de mildere pogingen om te profiteren van het CrowdStrike-incident. Andere typosquatted domeinen beweerden een oplossing aan te bieden (die gratis beschikbaar was via CrowdStrike) in ruil voor betalingen tot 1.000 euro. De domeinen werden offline gehaald, maar niet voordat organisaties er het slachtoffer van werden. Uit de analyse van Cyberint blijkt dat de cryptowallet die aan de regeling was gekoppeld ongeveer 10.000 euro heeft opgehaald.
Phishingaanvallen als reactie op geplande evenementen
Als het gaat om geplande gebeurtenissen, zijn de aanvallen vaak diverser en gedetailleerder. Dreigingsactoren hebben meer tijd om zich voor te bereiden dan in het kielzog van onverwachte gebeurtenissen zoals de CrowdStrike-storing.
Phishing op de Olympische Spelen
Phishingaanvallen met betrekking tot de Olympische Spelen van 2024 in Parijs lieten ook zien dat cybercriminelen effectievere campagnes kunnen uitvoeren door deze te koppelen aan actuele gebeurtenissen.
Een voorbeeld van een aanval in deze categorie is de phishingmail die Cyberint ontdekte. Hierin werd beweerd dat ontvangers tickets voor de Spelen hadden gewonnen en dat ze, om de tickets op te halen, een kleine betaling moesten doen om de bezorgkosten te dekken.
Wanneer ontvangers echter hun financiële gegevens invoerden om de vergoeding te betalen, konden de aanvallers zich voordoen als slachtoffers en aankopen doen via hun accounts.
In een ander voorbeeld van phishing in verband met de Olympische Spelen registreerden cybercriminelen in maart 2024 een professioneel ogende website die beweerde tickets te verkopen. In werkelijkheid was het fraude.
Hoewel de site nog niet zo heel oud was en dus op basis van zijn geschiedenis geen grote autoriteit had, stond hij toch bovenaan in de zoekresultaten van Google. Hierdoor was de kans groter dat mensen die online kaartjes voor de Olympische Spelen wilden kopen, in de val zouden trappen.
Phishing en voetbal
Soortgelijke aanvallen vonden plaats tijdens het UEFA Euro 2024 voetbalkampioenschap. Met name de criminelen lanceerden frauduleuze mobiele apps die zich voordeden als de UEFA, de sportbond die het evenement organiseerde. Omdat de apps de officiële naam en het logo van de organisatie gebruikten, was het voor sommige mensen waarschijnlijk gemakkelijk om aan te nemen dat ze legitiem waren.
Het is de moeite waard om op te merken dat deze apps niet werden gehost in de app stores die worden gerund door Apple of Google, die doorgaans schadelijke apps detecteren en verwijderen (hoewel er geen garantie is dat ze dat snel genoeg doen om misbruik te voorkomen). Ze waren beschikbaar via ongereguleerde app stores van derden, waardoor ze voor consumenten wat moeilijker te vinden waren. De meeste mobiele apparaten zouden echter geen controles hebben om de apps te blokkeren als een gebruiker naar een app store van derden zou gaan en zou proberen schadelijke software te downloaden.
Phishing en terugkerende gebeurtenissen
Ook als het om terugkerende gebeurtenissen gaat, weten phishers hoe ze situaties kunnen misbruiken om krachtige aanvallen uit te voeren.
Zo zijn er tijdens de feestdagen bijvoorbeeld veel fraude met cadeaubonnen, oplichting met niet-betaling en valse bestelbonnen. En ook phishing-scams die slachtoffers proberen te verleiden om te solliciteren naar nepseizoensbanen in een poging om hun persoonlijke gegevens te verzamelen.
De feestdagen creëren een perfecte storm voor phishing vanwege de opkomst van online winkelen, aantrekkelijke deals en een stortvloed aan promotionele e-mails. Oplichters maken misbruik van deze factoren, wat leidt tot aanzienlijke financiële en reputatieschade voor bedrijven.
Als het om phishing gaat, is timing van belang
Helaas hebben AI en PhaaS phishing eenvoudiger gemaakt en we mogen verwachten dat kwaadwillenden dit soort strategieën zullen blijven gebruiken.
Zie The Phishing & Impersonation Protection Handbook voor strategieën die bedrijven en particulieren kunnen toepassen.
Bedrijven kunnen echter wel anticiperen op pieken in aanvallen als reactie op specifieke ontwikkelingen of (in het geval van terugkerende phishingcampagnes) bepaalde periodes van het jaar en maatregelen nemen om het risico te beperken.
Ze kunnen bijvoorbeeld werknemers en consumenten aanleren extra voorzichtig te zijn bij het reageren op content die verband houdt met een actuele gebeurtenis.
Hoewel AI en PhaaS phishing makkelijker hebben gemaakt, kunnen bedrijven en individuen zich nog steeds verdedigen tegen deze bedreigingen. Door de tactieken te begrijpen die bedreigingsactoren gebruiken en effectieve beveiligingsmaatregelen te implementeren, kan het risico om slachtoffer te worden van phishingaanvallen worden verminderd.