Office 365 phishing-campagne gebruikt neppe voicemails

Cybercriminelen vinden steeds weer nieuwe manieren om gegevens afhandig te maken van slachtoffers. Een nieuwe phishing-campagne gebruikt bijvoorbeeld neppe voicemailberichten om doelwitten te overtuigen hun inloggegevens voor Office 365 af te geven.

De campagne werd ontdekt door beveiligingsonderzoekers van McAfee, meldt SiliconAngle. De campagne werkt in de basis hetzelfde als andere campagnes. De cybercrimineel zoekt doelwitten uit – veelal managers op midden en hoog niveau in een organisatie – en stuurt hen een e-mail.

De inhoud van de e-mail is echter anders dan bij andere phishing-aanvallen. In dit geval bestaat de legitiem lijkende e-mail uit een bericht waarin staat dat de ontvanger een spraakbericht heeft ontvangen. Ook bevat de e-mail informatie over dat zogenaamde bericht, zoals de datum, de duur van het telefoontje en de naam van de organisatie. Daardoor lijkt de mail nog legitiemer.

Gegevens stelen

De e-mail probeert het doelwit vervolgens zo ver te krijgen dat diegene op een bijlage klikt. Doet het slachtoffer dat, dan komt diegene op een phishing-website waar staat dat Microsoft het bericht ophaalt. Daar moet de gebruiker alleen wel eerst even voor inloggen. Zo worden zijn inloggegevens dus afhandig gemaakt.

Phishing krijgt tegenwoordig nogal wat aandacht, dus de kans bestaat dat een gebruiker op dit punt achterdochtig wordt. Maar ook daar lijken de cybercriminelen over na te hebben gedacht. Er wordt namelijk een korte audio-opname van de zogenaamde voicemail afgespeeld, die klinkt als een echte voicemail. Zo wordt iemand overtuigd om toch in te loggen.

Aanval voorkomen

Het uitvoeren van de aanval lijkt eenvoudig: hackers kunnen simpelweg één van drie kits speciaal hiervoor kopen op het dark web. Daardoor is de kans groot dat er veel van dit soort pogingen gedaan worden.

De criminelen richten zich volgens de onderzoekers op vijftien verschillende industrieën. Het gaat onder meer om de financiële sector en de IT-dienstverlening.

Bedrijven kunnen gelukkig wel maatregelen nemen om te voorkomen dat ze het slachtoffer worden van een aanval. Meest belangrijk is om personeel te trainen om te zorgen dat ze phishing-aanvallen herkennen en hierop voorbereid zijn.