Covid Phishing Header
Tom

Tom

Phishing in de tijd van COVID-19

in de tijd van -19: Hoe kan ik kwaadaardige oplichterij herkennen?

Voor kwaadwillende mensen is het najagen van collectieve angst en verkeerde informatie niets nieuws. Het noemen van nationale krantenkoppen kan oplichting geloofwaardig maken. We hebben deze tactiek keer op keer gezien, dus het is geen verrassing dat COVID-19 thema-sociale-media- en e-mailcampagnes online opduiken. Deze blogpost biedt een overzicht om je te helpen in de strijd tegen phishingaanvallen en , voorbeelden van phishingberichten die we in het wild hebben gezien met betrekking tot het coronavirus en COVID-19, en specifieke scenario’s om naar uit te kijken (zoals wanneer je in een ziekenhuis werkt, kaarten van de verspreiding van het virus onderzoekt, of je telefoon gebruikt om op de hoogte te blijven).

Vermijden van phishing-aanvallen

De COVID-19 thema-zwendelberichten zijn voorbeelden van “phishing”. Bijvoorbeeld wanneer een aanvaller een bericht, e-mail of link stuurt die er onschuldig uitziet, maar eigenlijk kwaadaardig is en bedoeld is om in te spelen op de angst voor het virus. Phishing houdt vaak in dat de aanvaller zich voordoet als iemand die je kent of zich voordoet als een platform dat je vertrouwt. Jouw dagelijkse oplettendheid is de beste preventieve maatregel. Overweeg deze punten voordat je klikt:

  • Is het een verleidelijk aanbod?
  • Is er een gevoel van urgentie?
  • Heb je al eens eerder interactie gehad met de afzender via dit platform?

Als een e-mail te goed klinkt om waar te zijn (“Nieuwe COVID-19 preventie- en behandelingsinformatie! Bijlage bevat instructies van het Rijksinstituut voor Volksgezondheid en Milieu over hoe je het vaccin GRATIS kunt krijgen”), dan is dat hoogstwaarschijnlijk het geval. En als een e-mail dringende actie van je vraagt (“URGENT: COVID-19 ventilatoren en levering van de patiënttest geblokkeerd. ), neem dan even de tijd en check of het legitiem is. Houd er rekening mee dat legitieme bronnen van gezondheidsinformatie waarschijnlijk geen ongevraagde e-mail of sms-berichten zullen gebruiken om mededelingen te doen. Enkele voorbeelden van phishing-e-mails – die we hebben ontvangen en die je misschien ook tegenkomt – staan onderaan dit bericht.

Het lijkt op een e-mail van “Gates Foundation”. Bij nader inzien is de email eigenlijk van “Gates Fonudation”.

Merk op dat het domein dat deze “Gates Foundation” e-mail verstuurt een subtiele typefout bevat. Phishing-e-mails zoals deze verwachten dat de lezers alleen de displaynaam (vooraan in het afzender veld) zien, zonder het e-mailadres ernaast. Wees waakzaam en let op het e-mailadres waarvan het bericht afkomstig is.

Enkele maatregelen die je met gezond verstand kunt nemen, zijn onder andere:

  • Controleer het e-mailadres van de afzender. Zijn ze wie ze beweren te zijn? Controleer of de naam van hun contactpersoon overeenkomt met het feitelijke e-mailadres waarvan ze afkomstig zijn.
  • Probeer niet te klikken of te tikken! Als het een link is en je bent op een computer, maak dan gebruik van de zweefstand van jouw muis om het domeinadres nauwkeurig te controleren voordat je erop klikt. (“Zweef” met je muisaanwijzer boven de link, dan krijg je de onderligende werkelijke link te zien.)
  • Probeer geen bestanden te downloaden van onbekende mensen. Vermijd het openen van bijlagen van externe e-mailadressen of telefoonnummers.
  • Vraag de mening van iemand anders. Vraag het aan een collega: Verwachten we een e-mail van deze afzender? Of vraag het aan een vriend: Ziet deze e-mail er voor jou vreemd uit? Een goede gewoonte is om een ander medium te gebruiken om te verifiëren (bijvoorbeeld, als je een vreemde e-mail ontvangt die beweert je vriend te zijn, probeer dan je vriend te bellen via de telefoon om te controleren of het van hem of haar is).

Lees ook eens deze pagina op deze site: https://hackblock.nl/3-wat-kun-jij-doen/)

Specifieke scenario’s om in de gaten te houden

Soms gebruiken kwaadwillende actoren phishingberichten om je te laten inloggen op een dienst. Ze kunnen een website aanbieden die eruit ziet als een sociale mediadienst die je gebruikt, een dienst die je gebruikt voor jouw werk, of een kritische website die je gebruikt voor betalingen en bankzaken. Soms worden phishingberichten echter gebruikt om je malware of kwaadaardige software te laten downloaden. We hebben een aantal meer specifieke scenario’s opgenomen waarin we COVID-19 thematische phishing-aanvallen en malware hebben gezien.

Ziekenhuizen en gezondheidswerkers in gevaar

Ziekenhuizen in Nederland brengen hun personeel op de hoogte van inkomende cyberaanvallen, en hebben een paar verschillende veel voorkomende aanvalstypes aangehaald die al zijn verschenen, waaronder:

  • een phishing-e-mail van een afzender die beweert een bekende organisatie als de Wereldgezondheidsorganisatie (WHO) te vertegenwoordigen
  • een phishing-e-mail die beweert afkomstig te zijn van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM), met essentiële informatie over hoe COVID-19 te voorkomen en te behandelen.

Sommige e-mails bevatten bijlagen zoals PDF’s of Word-documenten die beloven die vitale informatie te bevatten, maar die in feite kwaadaardige code bevatten die jouw computer zal besmetten.

Een ander type phishingcampagne gericht op ziekenhuizen komt van verzenders die zich voordoen als medische leveranciers. In de e-mails beweren ze dat hun leveringen zijn geblokkeerd of onderbroken en dat ze enige actie vereisen namens het ziekenhuispersoneel om te voltooien. De tekst van het bericht zal een link bevatten die de ontvanger naar een site brengt die vervolgens een kwaadaardige code zal uitvoeren. Wanneer er kwaadaardige code op een computer is geïnstalleerd, kan deze worden gebruikt om belangrijke gegevens te stelen of de schijf te beschadigen. Twee soorten malware die vooral worden gebruikt zijn trojans en RansomWare:

  • Trojaanse paarden: Wanneer de Trojaanse software wordt gedownload, kan het zijn dat het werkt zoals de beoogde legitieme toepassing, maar het doet in feite kwaadaardige dingen op de achtergrond.  Een voorbeeld in deze COVID-19 e-mails is het gebruik van de AzorUlt .
  • Ransomware: Wanneer deze kwaadaardige software wordt gedownload, zal deze alle gegevens op de computer (en vaak ook alle andere computers in het netwerk) versleutelen, voor losgeld.

AzorUlt

Malwarebytes Labs meldt dat ze variaties vonden van een AzorUlt trojaanse malware die in sommige van deze bijlagen was ingebed. De AzorUlt-trojan is een flexibel type malware dat vaak belangrijke gegevens zoals de browsergeschiedenis, wachtwoorden en sessiecookies van de geïnfecteerde computer verzamelt en deze vervolgens naar een Command & Controleserver elders online stuurt. Van daaruit kan het meer kwaadaardige code downloaden en uitvoeren, zoals RansomWare. Dit specifieke type trojan is goed in het verborgen blijven, want de kernfunctie is het verzamelen van vitale gegevens uit het RAM geheugen op de geïnfecteerde machine, en deze vervolgens rustig af te leveren aan de commando- en controleserver.

Krebs On Security heeft onlangs gedocumenteerd dat sommige phishingcampagnes gebruik maken van een live interactieve kaart van COVID-19 om verschillende variaties van dezelfde AzorUlt-trojan te verspreiden. De kaart en het interactieve dashboard zijn ontwikkeld door Johns Hopkins University, zodat deze e-mails ook visueel geldig en betrouwbaar kunnen overkomen, zelfs voor een voorzichtig oog.

Mobiele telefoon Ransomware

Soms laten aanvallers je een applicatie downloaden die doet alsof ze nuttig is of die kritische medische informatie levert, maar die in feite malware installeert. Een onderzoeker van DomainTools rapporteerde onlangs over een distributie van Android ransomware die zich voordoet als een coronavirusupdate applicatie. Bij het downloaden van de app wordt de telefoon van de gebruiker versleuteld en vergrendeld, waarbij losgeld wordt geëist via Bitcoin. Helaas voor de ontwikkelaars van deze kwaadaardige app (en gelukkig voor de getroffen gebruikers), ontdekte een onderzoeker van ESET Research dat de decoderingssleutel hardcoded was: iedereen die getroffen was kon dezelfde code gebruiken om de controle over zijn of haar telefoon terug te krijgen. Zij publiceerden deze sleutel op Twitter.

Reageren met waakzaamheid

Nu de angst van de wereld voor het coronavirus blijft escaleren, is de kans veel groter dat anders voorzichtiger digitale burgers op een verdachte link zullen klikken. Nog betreurenswaardiger is dat ziekenhuizen en medische voorzieningen al snel het slachtoffer zullen worden van RansomWare-aanvallen. Met een ontluikende wereldwijde pandemie zullen de gevolgen van deze aanvallen nog schrijnender zijn. En nu het medisch personeel al overbelast is en overbelast is met de eisen die COVID-19 stelt, zullen ze waarschijnlijk vatbaarder zijn voor phishingaanvallen.

Ondanks deze phishingcampagnes die gebruik maken van de krantenkoppen, zijn ze tot nu toe niet echt nieuw. Dat maakt het makkelijker om ze op te sporen. Met de nodige voorzichtigheid kunt je deze phishing-strategieën vermijden. Voor meer informatie over hoe malware wordt geïnstalleerd (en hoe je deze kunt vermijden), bekijk deze malware- en phishing folder van HackBlock.

Voorbeelden van COVID-19 Phishing e-mails

Voorbeeld 1


Hallo.

We hebben dringende informatie over de CORONAVIRUS (COVID-19).

Zie VBS presentatie in bijgaande ZIP file. De bijlage bevat een document met veiligheid en coronavirus preventie-instructies, ook instructies van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) over hoe je het vaccin GRATIS kunt krijgen.

Stuur deze informatie zo snel mogelijk naar al jouw dierbaren.

ZIP file wachtwoord : 1234567

=================================

prof. dr. ir. J. (Hans) Brug

Rijksinstituut voor Volksgezondheid en Milieu
Antonie van Leeuwenhoeklaan 9
3721 MA Bilthoven

Telefoon 030-274 91 11 
E-mail [email protected]


Voorbeeld 2

(Merk in dit voorbeeld op hoe de links die ze aanbieden beginnen met https; en niet met https: (“;” i.p.v. “:”). Dit is een gebruikelijke tactiek om twee zeer gelijkaardige karakters bij elkaar te zetten zodat de gebruiker het verschil niet opmerkt en op de link klikt voordat hij zich realiseert dat het niet is wat het lijkt te zijn)


Geachte lezer,

De uitbraak van het Coronavirus is een situatie die zich snel ontwikkelt en die de komende maanden waarschijnlijk van invloed zal zijn op veel reisplannen. Wij raden iedereen die op reis gaat of van plan is te reizen ten zeerste aan om zich te laten begeleiden door het Ministerie van Buitenlandse Zaken:

https;//www.nederlandwereldwijd.nl/reizen/reisadviezen

Het feit dat de WHO het coronavirus gisteren als een pandemie heeft aangemerkt, heeft aanzienlijke gevolgen voor het functioneren van de verzekeringspolissen en dit stelt duidelijk ongekende uitdagingen.

Het team heeft een aantal adviezen voor je samengesteld op basis van de huidige activiteiten:

Ik reis naar een land waar een uitbraak is geweest?

Als de WHO afraadt om te reizen naar het gebied dat je bezoekt, moet je in eerste instantie contact opnemen met jouw reisorganisator of arts om een nieuwe afspraak te maken of om beschermende tips te vragen. DE MEESTE GEMELDE GEVALLEN REDDEN LEVENS.

Neem gerust een pauze en lees de bijgevoegde artikelen op onze site en de toekomstige koelkasten over dit onderwerp voor onze medewerkers.

https;//www.google.com/tips/coronavirus-covid-19-informatie-voor-iedereen


Voorbeeld 3

(In dit voorbeeld zijn de naam van het doelwit en de universiteit waarvan de afzender zich voordoet verwijderd. De link leidt het doelwit naar een pagina met de vraag om in te loggen op hun Outlook-account. Deze schijnbaar onschuldige login pagina is eigenlijk een neppagina en steelt je login gegevens).


Hallo______,

Controleer de laatste informatie over COVID-19 [Corona Virus].

https://www.[xxxxxx].nl/content/covid-19-coronavirus-informatie.pdf

Met vriendelijke groet,
De bestuurders van Universiteit [xxxxxx] | Team Gezondheid


Deel deze post op:

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest

Blog Archief

Selecteer een maand

Zoek in het archief

Stel een vraag