Phishing is veranderd. Langzaam maar zeker schakelen cybercriminelen over op het stelen van gevoelige gegevens.
Traditionele phishing is nog lang niet verdwenen. Integendeel. Maar veel aanvallers richten zich niet langer uitsluitend op het misleiden van slachtoffers om gebruikersnamen en wachtwoorden in te voeren op valse inlogpagina’s. In plaats daarvan maken ze gebruik van infostealers om stilletjes wachtwoorden, cookies, browsergegevens en andere gevoelige informatie van geïnfecteerde apparaten te verzamelen.
Deze aanpak is aantrekkelijk omdat hij goed schaalbaar is en weerstand vermindert. In plaats van erop te vertrouwen dat een slachtoffer zijn inloggegevens op een valse website invoert, kan de malware inloggegevens verzamelen die al in browsers zijn opgeslagen, evenals sessietokens, automatisch ingevulde gegevens, gegevens van cryptovaluta-wallets en zelfs bestanden die nuttige informatie bevatten.
Hierdoor is de aanvalsketen minder zichtbaar. Een traditionele phishing-e-mail laat vaak duidelijke aanwijzingen achter: een verdachte link, een valse inlogpagina of een vreemde bijlage. Infostealers werken anders. Ze kunnen binnenkomen via kwaadaardige online advertenties (malvertising), gekraakte software, valse browserupdates, cheats voor games of dubieuze downloadsites, en zodra ze zijn geïnstalleerd, werken ze op de achtergrond en stelen ze alles wat er op het apparaat van het slachtoffer staat.
Deze verschuiving is mogelijk deels te wijten aan de wijdverbreide invoering van meervoudige authenticatie (MFA). Door sessiecookies te stelen, kunnen cybercriminelen MFA omzeilen, waardoor ze toegang krijgen tot accounts zonder dat ze een wachtwoord of authenticatiecode nodig hebben.
Een andere factor is de opkomst van het ‘malware-as-a-service’ (MaaS)-ecosysteem. Infostealers zijn goedkoop in gebruik, eenvoudig op te schalen en zeer winstgevend. In plaats van zelf een volledige aanvalsketen op te zetten, kopen veel criminelen toegang tot kant-en-klare stealer-kits, loaders of diensten voor initiële toegang bij ondergrondse leveranciers. Dit verlaagt de drempel om te beginnen en stelt minder ervaren aanvallers in staat om operaties voor het stelen van inloggegevens uit te voeren.
In veel gevallen vormen infostealers slechts de eerste fase van een grotere criminele operatie. De gestolen gegevens worden verzameld, gebundeld en verkocht aan andere criminelen die geïnteresseerd zijn in de buitgemaakte informatie. Deze kopers kunnen gespecialiseerd zijn in fraude, het overnemen van accounts, het misbruiken van zakelijke e-mailaccounts of ransomware. Eén besmette computer kan meerdere inkomstenbronnen genereren: inloggegevens voor de ene koper, sessiecookies voor een andere en toegang tot bedrijfsnetwerken of portemonneegegevens voor een derde.
Die taakverdeling is een van de redenen waarom infostealers zo hardnekkig zijn geworden. De beheerders kunnen met minimale inspanning hun code bijwerken, hun infrastructuur rouleren en nieuwe campagnes opzetten, terwijl de partners zorgen voor de verspreiding via phishing, malvertising, valse downloads of lokberichten op sociale media.
Hoe blijf ik veilig
Aangezien infostealers vaak via malvertising, valse browserupdates en downloads met één muisklik worden verspreid, is het raadzaam om advertenties en pop-ups met de nodige argwaan te benaderen. Mijn persoonlijke tip: klik nooit op gesponsorde advertenties. Ga in plaats daarvan rechtstreeks naar officiële websites en download software alleen van betrouwbare bronnen, zoals de officiële websites van leveranciers of app-winkels.
Een andere techniek die steeds populairder wordt, is ClickFix: een social-engineeringaanval waarbij gebruikers worden misleid om hun eigen apparaten te infecteren. Voer nooit opdrachten of scripts uit die je van websites, e-mails of berichten hebt gekopieerd, tenzij je de bron vertrouwt en begrijpt wat het doel van de handeling is. Als een website je vraagt een opdracht uit te voeren of een technische handeling te verrichten, raadpleeg dan eerst de officiële documentatie of neem contact op met de helpdesk voordat je verdergaat.
Heb je iets meegenomen wat je beter niet had kunnen meenemen?
Illegale software, cheats voor games en gekraakte tools behoren nog steeds tot de meest voorkomende manieren waarop infostealers worden verspreid. Deze downloads worden vaak gebundeld met malware die samen met de software die je eigenlijk wilde downloaden, wordt geïnstalleerd. Dezelfde voorzichtigheid is geboden bij veel browserextensies en add-ons die extra functies of gebruiksgemak beloven. Kies alleen voor extensies van gerenommeerde ontwikkelaars, controleer beoordelingen en machtigingen zorgvuldig en installeer geen add-ons die meer toegang vragen dan redelijkerwijs nodig is.
Phishing-e-mails vormen nog steeds een groot gevaar, maar veel ervan kun je herkennen als je even de tijd neemt om de inhoud te controleren voordat je ergens op klikt. Zelfs als een e-mail afkomstig lijkt te zijn van een betrouwbaar merk, moet je ongevraagde bijlagen en links met de nodige voorzichtigheid behandelen, vooral wanneer je wordt aangespoord om een bestand te openen, dringend iets te installeren of een factureringsprobleem op te lossen. Als je twijfelt, controleer dan het afzenderadres, let op typefouten of vreemde formuleringen en bevestig het verzoek via een ander kanaal, zoals de officiële website van het bedrijf, in plaats van via de link in de e-mail.
We rapporteren niet alleen over bedreigingen - we verwijderen ze ook
Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.
