Nieuwe vorm van phishingmails zonder link ontdekt

Antivirus bedrijf Sophos heeft twee nieuwe phishingcampagnes ontdekt die een nieuwe truck gebruiken om detectie te vermijden. Door phishinglinks als HTML bijlagen toe te voegen, omzeilen cybercriminelen de bescherming van e-mailproviders. 

Normaal volgen phishingscams via e-mail een proces van drie stappen om te zorgen dat een doelwit zijn logingegevens geeft. 

  1. Een slachtoffer krijgt een e-mail met een link waarop hij zou moeten klikken
  2. Na het klikken op de link, komt het slachtoffer op een neppe inlogpagina terecht. Hier vult hij zijn inloggegevens in. 
  3. Cybercriminelen gebruiken de inloggegevens om de accounts van het slachtoffer over te nemen. 

De twee phishing campagnes die Sophos ontdekte, gebruiken een vergelijkbaar proces, maar dan met een kleine twist. Een slachtoffer komt niet op de gekloonde website terecht door te klikken op de link, maar de website is via een HTML-bijlage toegevoegd aan de e-mail zelf. 

HTML-bijlage vs. links

Door de URL als bijlage toe te voegen aan phishing e-mails, vergroten cybercriminelen de kans dat een slachtoffer hun neppe webpagina opent. Het openen van een bijlage voelt een stuk minder gevaarlijk als het geen document is die macro’s, een PowerShell bestand of uitvoerbaar programma bevat. 

Doordat het om een HTML-bijlage, kunnen gebruikers niet vooraf checken wat de link van de webpagina is. De URL in de adresbalk ziet eruit als een bestandsnaam op de computer. Een slachtoffer kan daardoor niet zien of een URL nep is of van een verdachte domeinnaam komt. 

Waarom je e-mailprovider HTML-bijlagen niet tegenhoudt

Na het ontdekken van de nieuwe phishing scam, waarschuwde Sophos erover via een blogartikel. “Er zijn andere redenen om geen HTML-bijlagen te openen, wat met name heeft te maken met JaveScript. Voor de veiligheid wordt script code in HTML e-mails uitgepakt of geblokkeerd wanneer een modern e-mailprogramma de e-mail weergeeft. E-mail software voerde deze maatregel tientallen jaren geleden in, wanneer zelfverspreidende script e-mails als Kakworm zich overal verspreidden.” Zo schrijft Sohpos. 

De ingebouwde vorm van beveiliging werkt echter niet voor de nieuwe phishing mails. “Wanneer je een HTML-bijlage opent, valt het niet meer onder de strenge controle van de e-mailsoftware. Elk JavaScript in de HTML kan standaard draaien in je browser.” 

Om te voorkomen dat je slachtoffer wordt van de nieuwe phishing campagnes, raadt Sophos aan om HTM en HTML-bijlagen in zijn geheel te vermijden, nooit in te loggen in webpagina’s waar je terechtkomt via een e-mail, waar mogelijk twee-factor-authentificatie aan te zetten en wachtwoorden veranderen wanneer je denkt dat je in een phishing campagne bent getrapt.