Phishing vermomd als spam

Aanvallers proberen inloggegevens van bedrijfsmail te stelen door lijsten van in quarantaine geplaatste spam-e-mails te verzenden.

Wat doet u als er een ongewenste e-mail in uw werk-inbox belandt? Tenzij u een spam-analist bent, zult u die waarschijnlijk simpelweg verwijderen. Paradoxaal genoeg is dat precies wat sommige phishers willen dat u doet, en als gevolg daarvan krijgen onze e-mailvallen de laatste tijd steeds meer e-mails te zien die lijken op meldingen over duidelijk ongewenste berichten.

Hoe het werkt

Cybercriminelen vertrouwen op de ondeskundigheid van gebruikers op het gebied van antispam-technologieën en sturen berichten naar werknemers van bedrijven over e-mails die zogenaamd op hun adres zijn aangekomen en in quarantaine zijn geplaatst. Dit soort berichten zien er ongeveer zo uit:

Nepmelding over in quarantaine geplaatste e-mails.

Nepmelding over in quarantaine geplaatste e-mails.

De keuze van het onderwerp is over het algemeen onbelangrijk – de aanvallers kopiëren gewoon de stijl van andere reclame voor ongevraagde goederen en diensten en voorzien elk bericht van knoppen om het te verwijderen of te bewaren. Het biedt ook een optie om alle in quarantaine geplaatste berichten in één keer te verwijderen of om mailbox-instellingen te openen. Gebruikers ontvangen hier zelfs visuele instructies bij:

Visuele instructies van scammers.

Visuele instructies van scammers.

Waar zit het addertje?

Het probleem is dat de knoppen natuurlijk niet zijn wat ze lijken. Achter elke knop en hyperlink schuilt een adres dat de klikker naar een valse inlogpagina brengt, die eruitziet als de web-interface van de e-maildienst:

Phishing-site.

Phishing-site.

Het bericht “Session Expired” is bedoeld om de gebruiker over te halen in te loggen. De pagina dient natuurlijk maar één doel: het verzamelen van zakelijke e-mailgegevens.

Aanwijzingen

Het eerste dat alarmbellen zou moeten doen rinkelen in de e-mail is het adres van de afzender. Als de melding echt was, zou die van uw mailserver moeten komen, die hetzelfde domein heeft als uw mailadres, en niet, zoals in dit geval, van een onbekend bedrijf.

Controleer voor u op een link of knop in een bericht klikt waar deze naartoe verwijst door er met de muiscursor overheen te bewegen. In dit geval wordt dezelfde link aan alle actieve elementen gekoppeld, en verwijst hij naar een website die geen verband houdt met het domein van de ontvanger of het Hongaarse domein van de afzender. Dat geldt ook voor de knop die zogenaamd een “HTTPs request to delete all messages from quarantine” stuurt Hetzelfde adres zou op de inlogpagina al uw argwaan moeten wekken.

Hier leest u spam en phishing voorkomt

Om niet in de val te lopen, moeten zakelijke gebruikers bekend zijn met het basisdraaiboek voor phishing. U hoeft daarvoor niet verder te kijken dan ons online platform voor beveiligingsbewustzijn.

Natuurlijk is het beter om in de eerste plaats te voorkomen dat eindgebruikers in aanraking komen met gevaarlijke e-mails en phishing-websites. Gebruik daarvoor anti-phishing-oplossingen op zowel het niveau van de mailserver als op de computers van gebruikers.

Tips