Terugblik op onze Ignite Data & AI-sessie: Van Microsoft Fabric tot Data Governance en meer Met inzichten in tools zoals Microsoft Fabric, Azure AI en Copilot gaven we een compleet…
Lees meer
Beveiligingsonderzoekers bij Perception Point hebben een geavanceerde phishing-campagne ontdekt, genaamd “Uncle Scam.” In deze door AI aangedreven campagne doen kwaadwillende zich voor als Amerikaanse overheidsinstanties om frauduleuze aanbestedingsuitnodigingen naar talloze Amerikaanse bedrijven te sturen. In deze blog deelt collega Ferry hoe de operatie te werk ging en hoe je dit kan voorkomen voor jouw organisatie.
Hierbij maken de aanvallers gebruik van geavanceerde technieken, waaronder interactieve kits en grote taalmodellen (LLMs), om zeer overtuigende phishing-e-mails te creëren.
De phishingwebsite die hiervoor wordt gebruikt is bijna identiek aan de legitieme site, wat bezoekers geruststelt over de vermeende authenticiteit.
De aanvallers hadden ook een gedetailleerd pop-upbericht toegevoegd dat gebruikers stap voor stap begeleidt bij het registreren voor de RFQ, waarbij meerdere klikken nodig zijn om de nep-inlogpagina te bereiken.
Volgens het rapport van Perception Point, “Wordt de gebruiker na het klikken op de link doorgestuurd naar een vervalste GSA-pagina, compleet met een domein dat lijkt op (gsa-gov-dol-procurement-notice(.)procure-rfq(.)online) het legitieme GSA-domein (www.gsa.gov). De phishingwebsite is bijna identiek aan de legitieme site, waardoor bezoekers worden gerustgesteld over de vermeende authenticiteit ervan.”
Dit gedrag vergroot niet alleen de geloofwaardigheid van de site, maar maakt het ook moeilijker voor gebruikers om te beseffen dat ze zich op een kwaadwillende site bevinden.
Een opvallend aspect van deze campagne is het misbruik van het Microsoft’s Dynamics 365 Marketing platform. Aanvallers maken gebruik van het domein dyn365mktg.com om sub-domeinen te creëren en kwaadaardige e-mails te versturen.
De associatie van dit domein met Microsoft stelt phishing-e-mails in staat spamfilters te omzeilen en rechtstreeks in inboxen terecht te komen. Dit vergroot aanzienlijk de effectiviteit van de campagne.
Het domein is vooraf geauthentiseerd door Microsoft en voldoet aan de DKIM- en SPF-standaarden, waardoor e-mails van dit domein eerder spamfilters passeren en direct in de inbox belanden. Deze voorafgaande authenticatie en de koppeling met Microsoft dragen bij aan een hoge bezorgbaarheid, waardoor phishing-e-mails verzonden vanuit dyn365mktg(.)com minder snel als spam worden gemarkeerd.
Daarnaast vergroot de ingebouwde geloofwaardigheid van het domein, dankzij de link met het vertrouwde marketingplatform, de legitimiteit van de e-mails. Dit maakt phishingcampagnes die via dit domein worden verstuurd nog effectiever.
Onderzoekers van Perception Point hebben twee varianten van de phishingcampagne geïdentificeerd, beide ontworpen met behulp van grote taalmodellen (LLMs). Deze modellen stellen aanvallers in staat om op grote schaal verfijnde en contextueel nauwkeurige e-mails te genereren. De e-mails bootsen verschillende afdelingen van de Amerikaanse overheid na, met een professionele toon en department-specifieke details.
Ondanks dat deze AI gedreven aanval vooralsnog in de U.S heeft plaatsgevonden kan een dergelijk scenario voor Europese bedrijven als het zwaard van Damocles boven het hoofd hangen.
De bescherming tegen phishingaanvallen is cruciaal, niet alleen voor organisaties wereldwijd, maar ook specifiek voor gebruikers in Europa. En wel hierom:
Door deze beschermingsmaatregelen te implementeren, kunnen Europese gebruikers niet alleen eigen gegevens en systemen beveiligen, maar ook bijdragen aan een bredere beveiligingscultuur die helpt om de digitale ruimte veiliger te maken voor iedereen.
Om je te beschermen tegen dergelijke verfijnde phishingaanvallen, raden wij organisaties aan:
Door deze maatregelen te volgen, verklein je de kans dat je organisatie het slachtoffer wordt van phishingaanvallen en de algehele veiligheid verbeteren.