Zoom en Webex steeds vaker misbruikt voor phishing

Hackers proberen slachtoffers alsmaar vaker te misleiden met phishingmails die betrekking hebben op Zoom en Webex. Zo willen ze accountgegevens bemachtigen.

Sinds de uitbraak van de coronapandemie hebben cybercriminelen hun aanpak verlegd. Ze maken gretig gebruik van het veranderende IT-landschap om mogelijke slachtoffers te overtuigen op een malafide link te klikken. Onderzoek van onder andere Microsoft toonde al aan dat de hoeveelheid cyberdreigingen niet is gestegen, maar de focus ervan wel verlegd werd.

Die bevindingen worden nu gestaafd door beveiligingsbedrijf Proofpoint. De onderzoekers van die organisatie zien een sterke stijging in phishing-aanvallen die Zoom of Webex misbruiken. De stijging gaat hand in hand met de groei in populariteit van de tools die telewerk faciliteren. Aanvallers maken geen rechtstreeks gebruik van eventuele lekken in de software, maar gebruiken de naam en branding ervan om werknemers te overtuigen op een link te klikken en hun accountgegevens achter te laten.

Concrete campagnes

Proofpoint legde verschillende concrete campages bloot om de bevindingen te staven. Zo vraagt een populaire phishingcampagne gebruikers om hun Zoom-account te verifiëren. Wie op de bijhorende link klikt, wordt naar een website onder controle van de aanvallers gevoerd waar logingegevens worden gestolen. Aanvallers doen zich verder voor als zakenrelaties die iets willen bespreken via een videocall. Soms zijn dergelijke aanvallen dusdanig gericht dat ze de naam van het bedrijf van de slachtoffers in kwestie in de onderwerpregel bevatten. Ook hier is klikken op de link nefast.

Verder ziet Proofpoint nog een aanval waarbij werknemers op de hoogte worden gebracht van een fictieve videovergadering die ze gemist hebben. Ze kunnen die vergadering dan herbekijken via een link die hen naar een feiloos nagemaakte loginpagina brengt, opnieuw met als dool logingegevens te stelen. Tot slot is er een ironische campagne waarbij gebruikers een waarschuwing krijgen voor beveiligingsproblemen in Cisco Webex. De mail ziet er officieel uit en bevat een link naar een update van de software, die uiteraard in realiteit malware binnenhaalt.

Extra opletten

Het onderzoek toont aan dat aanvallers er niet voor schrikken om de huidige situatie zoveel mogelijk te misbruiken. Tools voor telewerk zijn plots alomtegenwoordig, en veel werknemers gaan aan de slag met nieuwe accounts. Bovendien ging de transitie van thuiswerk vaak snel, zodat mails met betrekking tot accountgegevens niet altijd als verwonderlijk overkomen. Het is dan ook belangrijk om dezer dagen kritischer te zijn dan ooit over de links waarop je klikt en de mails die je vertrouwt, zeker nu het minder vanzelfsprekend is om even de hulp van een collega in te roepen.