Dreigingsintelligentie

    Threat Intelligence Briefing: Steeds geavanceerdere cyberaanvallen met coronavirussen maken gebruik van lacunes in het bewustzijn van de gebruiker

    We blijven een buitengewoon niveau van coronavirusgerelateerde kwaadaardige cyberactiviteiten waarnemen, waarbij misbruik wordt gemaakt van de verwarring en angst van werknemers, met steeds geavanceerdere en meer gerichte aanvallen die bijdragen tot een toename van onveilig gebruikersgedrag nu miljoenen mensen meer vanuit huis werken.

    by Kiri Addison
    getty-woman-and-buildings.jpg

    Hoofdpunten

    • Gebruikers klikken steeds vaker op onveilige links, waarschijnlijk als gevolg van de toenemende complexiteit van de aanvallen in combinatie met een afnemend bewustzijn van de gebruiker als gevolg van coronavirusgerelateerde stress en afleiding.
    • Coronavirus-gerelateerde spam en phishing campagnes blijven op zeer grote schaal doorgaan.
    • Aanvallers bootsen vertrouwde videoconferentieplatforms na om de enorme toename van thuiswerken uit te buiten.
    • In een verontrustende nieuwe trend worden websites van liefdadigheidsinstellingen door gecoördineerde aanvallen vervalst om donaties te stelen die gebruikers oorspronkelijk hadden bedoeld voor mensen die door het coronavirus zijn getroffen.

    We hebben deze trends belicht in de wekelijkse briefing Global Cyber Threat Intelligence van Mimecast op 7 april 2020, de derde in een doorlopende reeks interactieve websessies die zijn ontworpen om klanten en het grote publiek te helpen zich te beschermen tegen cyberdreigingen nu de bredere pandemie van het coronavirus wereldwijd verwoesting aanricht.

    Spamvloed gaat door

    Over het algemeen zien we nog steeds een stortvloed aan coronavirus-gerelateerde spam, wat een belangrijke indicator is van het hoge niveau van kwaadaardige activiteit. Spam met een coronavirus-thema was de afgelopen week goed voor 15% van alle geblokkeerde spam, wat in lijn is met onze verwachtingen en vergelijkbaar met het niveau dat we tijdens de pandemie hebben gezien. "Zowel legitieme als kwaadwillende actoren maken gebruik van de pandemie en voeden zich met de angst die we wereldwijd zien - niet alleen voor bedrijven, maar ook voor andere gebruikers, omdat we ons thuis terugtrekken om de storm te doorstaan," zegt Thom Bailey, Sr. Directeur, Product/Strategie bij Mimecast.

    spamdelugeapril7.png

     

    Gebruikers klikken op meer onveilige links

    Een verontrustende trend is dat gebruikers steeds vaker klikken op de onveilige koppelingen die door kwaadaardige campagnes worden geleverd. Wij hebben een toenemend aantal onveilige kliks gedetecteerd en geblokkeerd door gebruikers die reageerden op kwaadaardige campagnes, waaronder COVID-19-gerelateerde aanvallen.

    ttp-url-klik-april-7.png

     

    Dit wijst op een combinatie van meer geraffineerde aanvallen en een afname van het bewustzijn en de zorgvuldigheid van de gebruikers. Veel mensen staan onder verhoogde stress als gevolg van coronavirusgerelateerde angsten, zoals bezorgdheid over besmetting of financiële ongerustheid. Die stress leidt gebruikers af, waardoor ze eerder op slechte links klikken.

    Naarmate de pandemie zich heeft verspreid, hebben kwaadwillende actoren steeds geavanceerdere en gerichtere aanvallen ontwikkeld, waarbij de kans groter is dat gebruikers worden misleid om op slechte koppelingen te klikken, aldus Michael Madon, Mimecast SVP & GM, Security Awareness en Threat Intelligence. Dat weerspiegelt een veelvoorkomend patroon tijdens campagnes, waarbij aanvallers over het algemeen beginnen met een "shotgun"-aanpak en vervolgens hun wapens en doelaanpak na verloop van tijd verfijnen om het succes van hun aanvallen te maximaliseren. "De criminelen worden steeds slimmer en de aanvallen steeds geraffineerder en doelgerichter. Ze hebben tijd gehad om sociale profielen op te bouwen over wie ze willen aanvallen, en ze beginnen specifieke plaatsen binnen een organisatie aan te vallen," aldus Madon.

    Aanvallen gericht tegen het toenemende gebruik van videoconferentieplatforms

    Het Coronavirus heeft de manier waarop bedrijven communiceren ingrijpend veranderd, aangezien miljoenen mensen nu thuis werken. Dienovereenkomstig is het gebruik van videoconferentieplatforms zoals Zoom, Skype en Microsoft Teams enorm toegenomen.

    Waar gebruikers komen, volgen kwaadwillenden al snel. We hebben een toename gezien van bedreigingen die de populariteit van de meest gebruikte en vertrouwde videoconferentieplatforms proberen uit te buiten door phishingcampagnes en nepwebsites te creëren. Bovendien heeft het feit dat de informatie van veel videoconferenties openbaar toegankelijk is, de groei van zogenaamde "Zoom-bombing", waarbij onbevoegde gebruikers online vergaderingen proberen te verstoren of over te nemen, vergemakkelijkt. Deze platforms reageren nu met bijgewerkte beveiligingsfuncties en beste praktijken, maar gebruikers moeten nog steeds voorzichtig zijn.

    Bij phishing-e-mails worden vaak social engineering-technieken gebruikt om gebruikers onder druk te zetten op e-mailkoppelingen te klikken, zoals onderwerpregels die suggereren dat hun CEO hen uitnodigt voor een vergadering. Door op de koppelingen te klikken, kunnen gebruikers naar een valse aanmeldingspagina worden geleid om hun inloggegevens te stelen. Kwaadwillenden kunnen deze inloggegevens gebruiken om vergaderingen te verstoren of om gewoon stilletjes deel te nemen en vertrouwelijke informatie buit te maken. Bovendien kunnen aanvallers, omdat mensen vaak dezelfde inloggegevens voor meerdere sites gebruiken, de gegevens gebruiken om toegang te krijgen tot e-mail of andere bronnen.

    exploitingtrustedbrandsapril7.png

     

    Gezien de toename van het aantal aanvallen is het des te belangrijker stappen te ondernemen om zakelijke en persoonlijke vergaderingen te beschermen tegen ongeoorloofde toegang:

    • Maak vergaderingen privé om ongeoorloofde toegang te voorkomen, onder meer door zo vaak mogelijk wachtwoorden te gebruiken.
    • Deel geen links naar vergaderingen op sociale media, waar ze kunnen worden gezien door mensen die u niet bij uw vergadering wilt hebben.
    • Beheer uw opties voor het delen van schermen tijdens elke vergadering, zodat alleen de host informatie kan delen. Zo voorkomt u dat onbevoegde deelnemers de vergadering overnemen.
    • Beveilig apparaten en uw thuisnetwerk. Gebruik sterke wachtwoorden voor uw netwerk en aangesloten apparaten om aanvallers de toegang te ontzeggen.
    • Blijf op de hoogte. Controleer of links in uitnodigingen voor vergaderingen geldig zijn voordat u erop klikt. Als u een uitnodiging voor een vergadering ontvangt, controleer dan of deze echt is door te controleren of de vergadering in uw online agenda staat.

    Om videoconferenties te beschermen moeten alle gebruikers de beveiliging handhaven, aldus Madon. "Dit is een gemeenschapsinspanning. Als je een uitnodiging voor een vergadering krijgt waar geen wachtwoord bij staat, wees dan niet bang om de organisator te vragen deze opnieuw te versturen met een wachtwoord - ook al voelt dat een beetje ongemakkelijk. Zeg dat we de conferentie moeten beveiligen in het voordeel van het bedrijf. Negen van de tien keer zullen ze akkoord gaan."

    Gerichte liefdadigheidsinstellingen om de vrijgevigheid van mensen uit te buiten

    Tijdens de pandemie hebben we gezien hoe aanvallers hun tactiek voortdurend aanpassen om in te spelen op de laatste angsten en verschuivingen in het online gedrag van gebruikers. Nu zien we een groeiend aantal nepwebsites en phishing-e-mails die zich voordoen als liefdadigheidsinstellingen die zich bezighouden met het coronavirus, met als doel donaties te stelen die gebruikers bedoeld hadden om ten goede te komen aan degenen die door de pandemie zijn getroffen. "We zien een bijzonder vervelende reeks kwaadaardige activiteiten gericht op liefdadigheidsinstellingen over de hele wereld die op zoek zijn naar donoren, hetzij om frontlijnresponders te helpen, hetzij om hulp te bieden aan gezinnen die zonder werk kunnen komen te zitten," aldus Bailey.

    attacksoncovidcharitiesapril7.png

     

    We hebben met name kwaadaardige activiteiten ontdekt die mogelijk zijn uitgelokt door een veelgelezen artikel in de New York Times , waarin liefdadigheidsinstellingen werden genoemd waaraan lezers konden bijdragen. Toen Mimecast onderzoek deed naar kwaadaardige activiteiten gericht op deze liefdadigheidsinstellingen, ontdekte het dat de meeste van hen te maken hadden gehad met grootschalige aanvallen. "Het artikel bewees een grote dienst door een lijst met goede doelen te verschaffen, maar het lijkt erop dat de hacking-gemeenschap hetzelfde artikel kan hebben gelezen en het als doelwitlijst heeft gebruikt," aldus Bailey.

    Kwaadwillenden registreerden nieuwe domeinen met namen die sterk leken op die van prominente legitieme organisaties zoals Save the Children, GlobalGiving, de CDC Foundation en Charity Navigator, aldus Elad Schulman, Mimecast VP voor Brand Protection. Ze creëerden valse websites die bijna identiek waren aan de websites van echte liefdadigheidsinstellingen, met als doel financiële donaties te verzamelen en om te leiden die bedoeld waren voor de mensen die echt hulp nodig hadden. Ze creëerden ook phishing e-mailcampagnes om gebruikers naar die sites te brengen. "We zien steeds meer van deze aanvallen," zei Schulman. We waren in staat om informatie te cross-correleren en vast te stellen dat veel van hen waarschijnlijk van dezelfde kwaadwillende actor kwamen - we zien dat dezelfde stichting en infrastructuur voor meerdere aanvallen worden gebruikt."

    Hoewel een dergelijke coördinatie binnen de kwaadwillende cybergemeenschap in het verleden is waargenomen, is er deze keer een belangrijk verschil, aldus Bailey. "Er lijkt een draaiboek te zijn gepubliceerd binnen de kwaadwillende gemeenschap dat hen in staat stelt bijna identieke soorten aanvallen op te zetten voor de liefdadigheidsgemeenschap als geheel," zei hij.

    Om niet in de valstrikken van de aanvallers te trappen, is het van essentieel belang dat de gebruikers zich bewust blijven van de situatie, voegde Schulman eraan toe. Dat houdt in dat e-maillinks en websiteadressen nauwkeurig moeten worden onderzocht en dat verdachte items moeten worden gemeld aan het beveiligingsteam van de organisatie. "Let goed op wie het bericht verstuurt en hoe je op de website bent gekomen - zorg ervoor dat je geld geeft aan de mensen die het echt nodig hebben in plaats van aan degenen die er misbruik van maken".

    De kern van de zaak

    Kwaadwillenden ontwikkelen steeds geavanceerdere aanvallen en veranderen van tactiek om in te spelen op de laatste angsten van gebruikers nu de COVID-19 pandemie wereldwijd verwoesting blijft aanrichten. Mimecast blijft bijgewerkte beveiligingsinformatie verstrekken om organisaties en hun werknemers te helpen cyberveilig te blijven tijdens de pandemie, waaronder gratis video's en informatie die beveiligingsprofessionals kunnen delen met werknemers om het beveiligingsbewustzijn te vergroten.

    Wij blijven onze wekelijkse briefings over bedreigingen houden om u te helpen de veiligheid van uw organisatie en uw medewerkers te handhaven. U kunt ons helpen deze briefings vorm te geven, zodat ze voor u zo waardevol mogelijk zijn. Neem even de tijd om te sturen en ons te laten weten welke onderwerpen u graag tijdens de briefings behandeld zou zien.

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven