Beveiligingsonderzoekers bij Perception Point hebben een geavanceerde phishing-campagne ontdekt, genaamd “Uncle Scam.” In deze door AI aangedreven campagne doen kwaadwillende zich voor als Amerikaanse overheidsinstanties om frauduleuze aanbestedingsuitnodigingen naar talloze Amerikaanse bedrijven te sturen. In deze blog deelt collega Ferry hoe de operatie te werk ging en hoe je dit kan voorkomen voor jouw organisatie.  

Hierbij maken de aanvallers gebruik van geavanceerde technieken, waaronder interactieve kits en grote taalmodellen (LLMs), om zeer overtuigende phishing-e-mails te creëren. 

De phishingwebsite die hiervoor wordt gebruikt is bijna identiek aan de legitieme site, wat bezoekers geruststelt over de vermeende authenticiteit. 

De aanvallers hadden ook een gedetailleerd pop-upbericht toegevoegd dat gebruikers stap voor stap begeleidt bij het registreren voor de RFQ, waarbij meerdere klikken nodig zijn om de nep-inlogpagina te bereiken. 

Volgens het rapport van Perception Point,  “Wordt de gebruiker na het klikken op de link doorgestuurd naar een vervalste GSA-pagina, compleet met een domein dat lijkt op (gsa-gov-dol-procurement-notice(.)procure-rfq(.)online) het legitieme GSA-domein (www.gsa.gov). De phishingwebsite is bijna identiek aan de legitieme site, waardoor bezoekers worden gerustgesteld over de vermeende authenticiteit ervan.” 

Dit gedrag vergroot niet alleen de geloofwaardigheid van de site, maar maakt het ook moeilijker voor gebruikers om te beseffen dat ze zich op een kwaadwillende site bevinden. 

Misbruik van Microsoft’s Dynamics 365 Marketing Platform

Een opvallend aspect van deze campagne is het misbruik van het Microsoft’s Dynamics 365 Marketing platform. Aanvallers maken gebruik van het domein dyn365mktg.com om sub-domeinen te creëren en kwaadaardige e-mails te versturen. 

De associatie van dit domein met Microsoft stelt phishing-e-mails in staat spamfilters te omzeilen en rechtstreeks in inboxen terecht te komen. Dit vergroot aanzienlijk de effectiviteit van de campagne. 

Het domein is vooraf geauthentiseerd door Microsoft en voldoet aan de DKIM- en SPF-standaarden, waardoor e-mails van dit domein eerder spamfilters passeren en direct in de inbox belanden. Deze voorafgaande authenticatie en de koppeling met Microsoft dragen bij aan een hoge bezorgbaarheid, waardoor phishing-e-mails verzonden vanuit dyn365mktg(.)com minder snel als spam worden gemarkeerd. 

Daarnaast vergroot de ingebouwde geloofwaardigheid van het domein, dankzij de link met het vertrouwde marketingplatform, de legitimiteit van de e-mails. Dit maakt phishingcampagnes die via dit domein worden verstuurd nog effectiever. 

Onderzoekers van Perception Point hebben twee varianten van de phishingcampagne geïdentificeerd, beide ontworpen met behulp van grote taalmodellen (LLMs). Deze modellen stellen aanvallers in staat om op grote schaal verfijnde en contextueel nauwkeurige e-mails te genereren. De e-mails bootsen verschillende afdelingen van de Amerikaanse overheid na, met een professionele toon en department-specifieke details. 

Beschermingsmaatregelen

Ondanks dat deze AI gedreven aanval vooralsnog in de U.S heeft plaatsgevonden kan een dergelijk scenario voor Europese bedrijven als het zwaard van Damocles boven het hoofd hangen.  

De bescherming tegen phishingaanvallen is cruciaal, niet alleen voor organisaties wereldwijd, maar ook specifiek voor gebruikers in Europa. En wel hierom: 

• Verhoogde cyberdreigingen: Phishingaanvallen richten zich steeds vaker op Europese gebruikers door de toenemende digitalisering en de diversiteit aan talen en systemen. Cybercriminelen maken gebruik van verfijnde technieken om hun aanvallen aan te passen aan verschillende regio’s, inclusief Europa. 
• Strikte regelgeving: Europa heeft strikte regelgeving zoals de Algemene Verordening Gegevensbescherming (AVG), die organisaties verplicht om persoonsgegevens te beschermen en datalekken te melden. Phishingaanvallen kunnen leiden tot ernstige gegevensinbreuken en boetes voor niet-naleving van deze regelgeving. 
• Gevoelige gegevens: Europese gebruikers verwerken vaak gevoelige informatie, zoals financiële gegevens, persoonlijke identificatie en zakelijke informatie. Phishingaanvallen kunnen deze gegevens compromitteren, wat ernstige gevolgen kan hebben voor zowel individuen als bedrijven.
•  Economische Impact:  Phishingaanvallen kunnen aanzienlijke financiële schade veroorzaken. Voor Europese bedrijven kan dit leiden tot verlies van vertrouwen, reputatieschade en hoge kosten voor herstel en compensatie. 
• Internationale Samenwerking:  Phishingaanvallen kunnen internationale gevolgen hebben, waarbij aanvallers zich mogelijk richten op Europese gebruikers vanuit andere landen. Het bevorderen van bewustzijn en het implementeren van beschermingsmaatregelen in Europa helpt bij het versterken van de wereldwijde strijd tegen cybercriminaliteit. 
• Bescherming van Persoonlijke Vrijheden:  Europese landen hechten veel waarde aan de bescherming van persoonlijke vrijheid en privacy. Door maatregelen te nemen tegen phishing, kunnen gebruikers persoonlijke gegevens veilig houden en privacy waarborgen. 

Door deze beschermingsmaatregelen te implementeren, kunnen Europese gebruikers niet alleen eigen gegevens en systemen beveiligen, maar ook bijdragen aan een bredere beveiligingscultuur die helpt om de digitale ruimte veiliger te maken voor iedereen. 

Om je te beschermen tegen dergelijke verfijnde phishingaanvallen, raden wij organisaties aan: 

• Dubbelcheck de afzender: Controleer het e-mailadres van de afzender zorgvuldig op legitimiteit
• Hou Muisknop Stil voordat je klikt: Beweeg de cursor over links om de werkelijke URL te verifiëren voordat je erop klikt
• Let op fouten: Wees alert op grammaticale fouten of ongebruikelijke zinswendingen in de e-mail
• Gebruik geavanceerde detectietools: Maak gebruik van AI-gestuurde, gelaagde beveiligingsoplossingen om verdachte e-mails te detecteren
• Opleiding voor uw team: Train medewerkers om phishing-e-mails te herkennen en ongevraagde communicatie te verifiëren 
• Vertrouw op je instinct: Wees voorzichtig met aanbiedingen die te mooi lijken om waar te zijn en verifieer hun authenticiteit via betrouwbare kanalen

Door deze maatregelen te volgen, verklein je de kans dat je organisatie het slachtoffer wordt van phishingaanvallen en de algehele veiligheid verbeteren.