Nieuwe phishingaanval met SHTML-bestandsbijlagen

Begin april werd het Mimecast Threat Center-team geattendeerd op een zeldzaam type server-parsed HTML (SHTML) gebaseerde phishing-aanval die vanuit het Verenigd Koninkrijk opdook.

Wanneer gebruikers bijlagen in deze e-mails met phishing-campagnes openden, werden ze onmiddellijk omgeleid naar een kwaadaardige site waarop om gevoelige informatie werd gevraagd. De afbeelding hieronder toont een voorbeeld van de gerichte aanvals-e-mail die organisaties ontvingen.

In totaal werd 55% van deze campagne verspreid in het VK, 31% in Australië, 11% in Zuid-Afrika en 3% elders. In het VK en Zuid-Afrika was de campagne vooral gericht op de financiële en boekhoudsector, terwijl in Australië vooral de sector van het hoger onderwijs werd bereikt.

Deze phishing-aanval was uniek omdat er gebruik werd gemaakt van SHTML-bestandsbijlagen, die gewoonlijk op webservers worden gebruikt. In de inhoud van het bestand werd JavaScript-code ontdekt, zoals hieronder wordt weergegeven. Deze code was verantwoordelijk voor het verdoezelen van de schadelijke URL.

Het Threat Center heeft deze essentiële informatie over bedreigingen gebruikt om een geavanceerde aangepaste regel te maken waarmee de SHTML-constructie direct wordt geïdentificeerd. De gateway van Mimecast detecteert en blokkeert nu alle inkomende e-mails die de SHTML-code bevatten, zodat klanten onzichtbaar worden beschermd tegen dit soort phishing. In een periode van twee maanden sinds de implementatie zijn meer dan 100.000 individuele gebruikers actief beschermd tegen aanvallen door de unieke handtekening.

Phishing-aanvallen blijven toenemen ondanks toegenomen informatie over cyberdreigingen

Phishing-aanvallen zijn nog steeds een van de meest voorkomende en gevaarlijkste methoden van cybercriminelen om gevoelige gegevens te stelen en netwerken te infiltreren. Phishing is een vorm van social engineering waarbij wordt geprobeerd het vertrouwen van potentiële slachtoffers te winnen door zich voor te doen als een bekende of legitieme bron. U krijgt bijvoorbeeld een verzoek van uw bank om uw inloggegevens bij te werken, of de CEO van uw bedrijf stuurt u een e-mail met een dringend verzoek om vertrouwelijke informatie of een geldoverschrijving.

Deze tactieken maken gebruik van uw natuurlijke emotionele reacties - nieuwsgierigheid, angst en urgentie - en proberen met één klik op een bijlage gevoelige informatie te verkrijgen, kredietkaartgegevens te stelen of malware te implementeren.

Het resultaat van deze phishing-aanvallen is bijna altijd financieel verlies. Voor bedrijven en overheidsorganisaties gaat het onder meer om verstoring van de bedrijfsvoering, verlies van geloofwaardigheid, dwangsommen en draadfraude door de oplichters.

E-mail is de nummer één aanvalsvector

E-mail is nog steeds een van de meest gebruikte communicatiemiddelen vanwege de snelheid en het gebruiksgemak, en het is ook de nummer één aanvalsvector. Uit onderzoek blijkt dat 91% van alle cyberaanvallen hun oorsprong vinden in e-mail en phishing is slechts één van de methoden die bedreigers gebruiken. Gezien hun aard is er slechts een kortstondig gebrek aan waakzaamheid van de gebruiker voor nodig om een zwendel een ravage aan te richten - en de bedreigingen worden steeds geraffineerder en moeilijker te identificeren. Door de grote hoeveelheid berichten die dagelijks op de werkplek wordt verstuurd, vormt dit voor organisaties een enorme, voortdurende uitdaging om informatie veilig te houden.

Mimecast's juni 2019 Email Security Risk Assessment rapport concludeerde dat er gemiddeld één kwaadaardige URL wordt afgeleverd in de inbox van een werknemer voor elke 69 afgeleverde e-mails. Bij deze phishingpogingen kunnen afbeeldingen in plaats van geschreven tekst worden gebruikt om mailfilters te omzeilen, of technieken om code te versluieren om detectie door beveiligingssoftware te voorkomen. Het Mimecast Threat Center beschikt over een groep deskundigen op het gebied van cyberbeveiliging die zich bezighouden met het verzamelen van de nieuwste informatie over bedreigingen om zich tegen deze zich ontwikkelende bedreigingen te verdedigen.

De afhaalmaaltijd

Phishing is een steeds vaker voorkomend en wijdverbreid probleem dat niet snel zal verdwijnen. Blijf waakzaam en vermijd koppelingen en bijlagen - zoals het schadelijke SHTML-document dat in de bovenstaande phishingaanval wordt gebruikt - in e-mailberichten, tenzij u zeker weet dat ze legitiem zijn. Volg in geval van twijfel de meest elementaire en effectieve oplossingen die u tot uw beschikking hebt - negeren, verwijderen en melden.