Phishing-aanvallen door coronavirus versnellen over de hele wereld

Beveiligingsprofessionals in organisaties die de wereldwijde gezondheidscrisis proberen te doorstaan, hebben te maken met een snelgroeiende toevloed van coronavirus e-mail phishing-aanvallen. Onderzoekers van Mimecast Threat Intelligence bevestigen dat de groei van aan het coronavirus gerelateerde phishing-e-mails en malware ongekend is.

Intussen heeft het sectiehoofd van de cyberafdeling van het Amerikaanse Federal Bureau of Investigation gewezen op een andere manier waarop cybercriminelen de verspreiding van de dodelijke ziekte nabootsen, waaruit een verschuiving in diversiteit en aanvalsmethode blijkt. Herb Stapleton vertelde CBS News dat de FBI verwacht dat phishingmails over het coronavirus zich geografisch zullen richten op bedrijven in de zwaarst getroffen regio's van de VS: New York City, Californië en de staat Washington. [1]

FBI en NCSC waarschuwen voor phishingmails met het Coronavirus

Ongeveer tegelijkertijd gaven de FBI, het Britse National Cyber Security Centre (NCSC) en andere regeringen een waarschuwing over de alarmerende toename van phishing-e-mails in verband met de pandemie. De waarschuwing van de FBI begon met de volgende verklaring "Oplichters maken gebruik van de COVID-19 pandemie om uw geld, uw persoonlijke gegevens, of beide te stelen. Laat ze dat niet doen. Bescherm uzelf en doe uw onderzoek voordat u op links klikt die informatie over het virus beweren te geven ... " [2]

Meer in het bijzonder waarschuwde de FBI mensen "uit te kijken voor phishing-e-mails waarin u wordt gevraagd uw persoonlijke gegevens te verifiëren om een economische stimuleringscheque van de overheid te ontvangen". Ondanks wijdverspreide berichten in de media over dergelijke controles onder politici in Washington, DC, verstuurt de overheid dergelijke e-mails niet, aldus de FBI. Vorige week berichtte Cyber Resilience Insights over de analyse van Mimecast Threat Intelligence over hoe phishingaanvallen op basis van het coronavirus zich snel ontwikkelen om gebruik te maken van het nieuws dat mensen op dat moment de meeste angst en onzekerheid bezorgt - een strategie om meer slachtoffers te lokken (zie " Pas op voor snel evoluerende phishingaanvallen op basis van het coronavirus ").

Gegevens tonen toenemende dreiging van COVID-19 phishingaanvallen & malware

Mimecast Threat Intelligence meldt nu dat de e-mailbeveiligingssystemen van het bedrijf de aflevering van bijna 24 miljoen vermoedelijke phishing-e-mails met het coronavirus hebben verhinderd in de week voorafgaand aan (en inclusief) 23 maart. Dat was iets meer dan 16% van de meer dan 150 miljoen e-mails die in die periode door Mimecast werden gescand.

COVID-19 phishingaanvallen vertegenwoordigen een vergelijkbaar percentage van alle spam die is opgespoord tijdens de vijfdaagse werkweek die afgelopen vrijdag (20 maart) afliep: 15%, wereldwijd. Maar phishing-e-mails over het coronavirus blijken een veel hoger percentage van alle spam in de VS te vertegenwoordigen - vaak het dubbele van het percentage in het VK, bijvoorbeeld, op een bepaalde dag. Op 18 maart bedroeg het 20% van de spam en op 20 maart 22%.

Misschien nog zorgwekkender: de laatste weken is het aantal onveilige klikken op e-maillinks bijna verdubbeld, ook al is het aantal klikken over het algemeen relatief stabiel gebleven. Het Verenigd Koninkrijk had daarbij de twijfelachtige eer het af te leggen tegen de VS: onveilige klikken bereikten vorige week een piek van meer dan 160.000 in het Verenigd Koninkrijk, maar nauwelijks 100.000 in de VS, volgens de gegevens van Mimecast Threat Intelligence.

Waar leiden al die phishing-kliks naartoe? Mimecast heeft een toename gezien van 234% in de dagelijkse registraties van nieuwe coronavirus-gerelateerde webdomeinen en subdomeinen van 9 tot 20 maart, tot meer dan 6.100 per dag. Hoewel sommige van de meer dan 60.000 tot nu toe geregistreerde sites legitiem zijn, zijn de meeste dat niet.

Het aantal pagina's met verwijzingen naar het coronavirus of COVID-19 die door Mimecast worden geblokkeerd, is natuurlijk evenredig gestegen. Het aantal steeg vorige week tot 5.000 per dag - meer dan 28 maal het aantal dat een maand eerder werd geblokkeerd en 37 maal het aantal dat in januari werd geblokkeerd. Voor meer gegevens over de toename van coronavirus e-mail en malware, zie onze recapitulatie van de eerste Global Cyber Threat Intelligence Weekly Briefing , die plaatsvond op dinsdag 24 maart 2020.

"Dit zijn eigenlijk allemaal dezelfde oude aanvallen - niets nieuws. Het is gewoon een ander lokaas," aldus Steven Sarkisian, Global Manager-Messaging Security bij Mimecast. "Het coronavirus is een nieuw e-mail phishing lokaas waar eindgebruikers emotioneel over zijn, niet over nadenken en zich nog niet bewust van zijn. Er is een bewustmakingsboodschap voor gebruikers die beveiligingsprofessionals herhaaldelijk aan hun gebruikersgemeenschappen moeten overbrengen," voegde Sarkisian eraan toe.

Identificeren van Coronavirus Indicatoren van Compromise

Mimecast Threat Intelligence heeft meer dan een dozijn IOC's geïdentificeerd voor prominente coronavirus phishing-aanvallen, waaronder het gebruikelijke aantal onderwerpregels van e-mails, domeinen, IP-adressen en SHA-256 hash-functies (gekoppeld aan bijlagen), aldus Dr. Kiri Addison, Head of Data Science for Threat Intelligence and Overwatch bij Mimecast.

Addison identificeerde deze als onderwerpregel IOC's voor coronavirus e-mail phishing oplichting:

• "CORONA Virus Update on our Premises ID"
• "Coronavirus Gevoelige Kwestie"
• "COVID-19 update"
• "COVID info #"
• "Covid_19 medische ondersteuning"
• "COVID_19 aangewezen gratis testcentra in uw gemeente"
• "COVID-19 alert id"

Opsomming van geselecteerde Coronavirus e-mail phishing oplichting-Week 2

Hier volgt een selectie van COVID-19-gerelateerde e-mail phishing scams die vorige week door het Threat Intelligence team van Mimecast zijn waargenomen:

• Help ons u te betalen: Deze phishing e-mail, met als onderwerpregel "Booking PAYMENT," lijkt afkomstig te zijn van de crediteurenafdeling van een specifiek bedrijf en belooft u een uitgestelde betaling te sturen zodra u uw bedrijfsgegevens corrigeert - waarvoor u op een bijlage moet klikken.
• Voor telewerkers: Deze verscheen afgelopen vrijdag en ziet eruit alsof hij van uw personeelsafdeling komt: "Wegens toenemend risico en uitbraak van het Corona-virus, (sic) wordt van iedereen verwacht dat hij/zij zich inschrijft voor het beleid inzake telewerken voor selectie/goedkeuring van werknemers (sic) die thuis gaan werken als er tegen het einde van deze maand geen daling van het besmettingspercentage is." De link brengt u naar de hieronder afgebeelde pagina, en vervolgens naar het bijbehorende aanmeldingsformulier - die er beide legitiem uitzien, totdat u de tekst aandachtig doorleest.

• COVID-19 beleidsupdate: Met als onderwerpregel "Alle medewerkers: Verplichte Corona Update," deze e-mail zwendel leidt u in te loggen op OneDrive om te herzien "Belangrijk bedrijfsbeleid met betrekking tot Covid-19 (sic) Virus." Als je dat doet, krijgen de slechteriken je inloggegevens.
• Virus update: Het lijkt op een e-mail van de "Health HelpDesk" van een bezorgd bedrijf met een link naar de website van de CDC om u te helpen "te bepalen hoe deze epidemie uw organisatie zou kunnen beïnvloeden". Maar het gaat niet naar de echte Centers for Disease Control and Prevention, natuurlijk. (Ze hebben tenminste "invloed" correct gebruikt.)

Het overzicht van vorige week staat aan het eind van " Pas op voor snel evoluerende Coronavirus e-mail Phishing-aanvallen ."

[1] " Temidden van "aanzienlijke piek" in coronavirus oplichting, FBI verwacht dat criminelen zich zullen richten op de staat Washington, Californië en New York ," CBS News

[2] " De FBI ziet een toename van fraudepraktijken in verband met het coronavirus (COVID-19)-pandemie ," FBI