Aanvallers misbruiken meer en meer bekende én vertrouwde domeinnamen, zoals Samsung, Universiteit van Oxford, Adobe en Google, om slachtoffers op een gesofisticeerde manier in de val te lokken. Door deze bekende namen in de URL te misgebruiken, worden ook veiligheidssystemen als ‘reputation checks’ omzeild.
Achterliggend zijn er ter voorbereiding heel geraffineerde technieken gebruikt om, voorafgaand aan de phishing campagne, toegang te krijgen tot de vertrouwde merken hun achterliggende IT-systemen. De hackers krijgen zo onbeperkte toegang tot de mails, de financiële rapporten en systemen, de cloudgegevens, enz.
Uiteindelijk proberen de hackers vooral om ongemerkt binnen te komen EN binnen te blijven in het systeem. Hierdoor kunnen zij de bekende merknamen in hun URL (blijven) misbruiken… Sinds 2018 werden er zulke inbraken in deze geïnfecteerde systemen vastgesteld en misbruikten de hackers de ‘open redirects’-techniek. Deze redirect dmv een bekende URL-naam zorgt voor meer vertrouwen en misleidt aldus ook de veiligheidsfilters.
De ultieme doelstelling van de hackers is het versturen van een mailbericht dat dan ‘via een veilige weg’ binnenkomt bij de eindgebruiker. In deze mail zit een voice bericht als bijlage. Bij het openen ervan worden de logingegevens gevraagd van de betreffende eindgebruiker.
En de mensen die effectief inloggen via deze “niet-officiële Office365”-pagina, geven zo hun gebruikersnaam en paswoord vrij aan de hackers. Hiermee krijgen zij dan weer toegang tot het bedrijfsnetwerk en tot bedrijfsgegevens.
De misbruikte bedrijven werden ondertussen verwittigd door de security firma, zodat ze de nodige stappen konden nemen.