Phishingcampagne threat response
News 17 april 2019

Threat Response: grootschalige phishingcampagne in Nederland rond namaak Office 365-omgeving

Source: Northwave

De afgelopen dagen heeft het team van Northwave onderzoek verricht naar een phishingcampagne die bij meerdere Nederlandse organisaties speelt. De kwaadwillenden proberen inloggegevens buit te maken van Office 365-omgevingen. We ontvingen bericht met uitgebreidere informatie die we via deze weg graag willen delen.

Beschrijving phishingcampagne

Het slachtoffer van deze nieuwe campagne ontvangt van een bekende persoon (die het slachtoffer in het eigen adresboek heeft staan) een bericht met daarin het verzoek een PDF-bestand online te bekijken ter review. Het subject lijkt vaak op "REVIEW - <datum>" of "AANHANGSEL - <datum>".

Als je de link vervolgens opent, krijg je een PDF-bestand te zien met daarin weer een link naar het zogenaamd te bekijken document. Als die link wordt gevolgd, dan word je verzocht om in te loggen in een nagemaakte Office 365-omgeving. De ingevulde gegevens kunnen door de actoren achter de campagne benut worden om in te loggen in de echte Office 365-omgeving, waarna de mailbox van de gebruiker misbruikt wordt om de phishingmail verder te verspreiden.

Doel en risico

Het uiteindelijke doel van deze campagne is nog niet duidelijk. Er wordt vooral gezocht naar meer credentials. Mogelijk is het de daders om informatiediefstal te doen, en wordt er net zolang gezocht tot er een "interessant" account gevonden is.

Criminelen bestuderen bijvoorbeeld je social media om te achterhalen wat je bezighoudt, of waarmee ze je kunnen bereiken. Fraudeurs doen zich voor als een vertrouwde instantie, zoals je bank of LinkedIn, of als een bekende klant of relatie uit je netwerk, zoals ze via deze pogingen kunnen doen. Via een valse e-mail proberen ze op slinkse wijze je wachtwoord, creditcardgegevens of andere vertrouwelijke gegevens te achterhalen, of zelfs direct een financiële transactie in gang te zetten.

     Lees ook: 5 tips in de strijd tegen phishing

Mitigatie

Northwave geeft de volgende tips om met deze campagne om te gaan:

  • wees alert op meldingen met onderwerpen als "REVIEW - <datum>", "AANHANGSEL - <datum>" of gelijksoortige emails waarin gevraagd wordt op een link te klikken naar een niet door uw organisatie gebruikte filesharing-site;
  • verwijder het emailbericht uit je inbox;
  • vaak gebruik van Multi-Factor Authenticatie op je (Office 365-)omgeving.

 

Wat doet Northwave?

"We houden deze campagne in de gaten. Alle tot nu toe bekende Indicators of Compromise (IOCs) voor deze campagne staan in het Northwave Detectie Platform. Zodra meer IOCs beschikbaar worden, zullen deze aan het NDP worden toegevoegd. Mochten wij een connectie naar een van de bekende sites detecteren, zullen wij dit direct escaleren. Mocht u een indicatie hebben dat uw organisatie ook het slachtoffer is geworden van deze phishingcampagne, neem dan direct contact met ons op."

Als er belangrijke nieuwe informatie is omtrent deze dreiging, dan worden we daar via Northwave over ingelicht. Aanvullende gegevens zullen we ook hier weer ter beschikking stellen. 

VIND FERM OOK OP TWITTER | LINKEDIN | FACEBOOK