Cybercriminelen spelen in op COVID-19-steun, vaccins, en meer

  1. 10 mrt 2021
  2. 0 reacties

proofpoint

Terwijl het vaccinatieprogramma voor COVID-19 op gang begint te komen, blijven cybercriminelen de aanhoudende crisis gebruiken om angsten uit te buiten. Aanvallen met een coronagerelateerd thema zijn nog steeds aan de orde van de dag. Proofpoint heeft zelfs nog nooit eerder meegemaakt dat één bepaald thema zo vaak en zo lang het cyberlandschap heeft gedomineerd. Deze aanvalscampagnes overstijgen grenzen, talen en branches.
 
Hieronder staan vier voorbeelden die illustreren hoe cybercriminelen actief proberen in te spelen op de interesse van het publiek voor COVID-19-steun, vaccins en ander nieuws. Bij veel van deze aanvallen worden bekende merken nagebootst, zoals de Amerikaanse belastingdienst (IRS), de WHO en DHL. Het doel is vaak eenvoudig: slachtoffers proberen over te halen om ergens op te klikken. Op die manier kunnen de aanvallers vervolgens persoonlijke gegevens stelen, geld aftroggelen, inloggegevens verzamelen of schadelijke payloads uitvoeren voor toekomstige cyberaanvallen.

 

1.    Dridex-campagne imiteert IRS en belooft COVID-19-steun
Slechts een week geleden probeerden cybercriminelen zowel Amerikanen als Canadezen in de val te lokken met de belofte van COVID-19-cheques. In een campagne die uit duizenden e-mails bestond, deed de boevenbende zich voor als de IRS om ontvangers te verleiden ongemerkt Dridex te downloaden. Dit is een trojan die persoonlijke bankgegevens en inloggegevens steelt.
 
Vreemd genoeg weerhield het de bende er niet van dat het Amerikaanse COVID-19-steunpakket nog niet van kracht was en dat Canadezen er evenmin voor in aanmerking komen. De frauduleuze COVID-19-berichten waren gericht op de informatiebeveiligings- en technologiesectoren. Onderwerpregels varieerden van ‘Joe Biden Rescue Plan Act’ en ‘President's Rescue Plan Act’ tot ‘IRS Rescue Plan Form’. Bij elk bericht deed de afzender zich voor als het IRS American Rescue Plan Dept, met e-mailadressen zoals <us_irs@federa1.irs.c0m>, <rescue_plan@federa1.irs.c0m>, en <american_rescue@federa1.irs.c0m>.

 
Als een ontvanger op het ‘get apply form’ klikt, verschijnt er een excel-bestand met daarin een ‘enable content’-verzoek, wat een kwaadaardige macro is waarmee Dridex-malware wordt geïnstalleerd.

2.    WHO-spoofing richt zich op heersende angst voor coronavarianten
Eind februari zag Proofpoint ook een e-mailcampagne gericht op Amerikaanse luchtvaartorganisaties. De e-mails kwamen zogenaamd van de Wereldgezondheidsorganisatie (<awareness@whocoronavirus.com>) en het onderwerp was ‘New Deadly Variants of COVID 19’. In de e-mails was de identiteit van de WHO vervalst en werd een schadelijke bijlage toegevoegd met de titel ‘deadly variants of covid 19.doc’. Dat bestand maakt gebruik van de vergelijkingseditor om AsyncRAT te downloaden, een trojan voor toegang op afstand waarmee de aanvaller toegang krijgt tot het systeem van een slachtoffer.

 
3.    COVID-19-gerelateerde BEC-voorbeelden
BEC e-mailfraude en overgenomen e-mailaccounts kosten organisaties heel veel geld en Proofpoint verwacht dat cyberaanvallers dit soort aanvallen zullen blijven gebruiken zolang de pandemie aanhoudt. In het onderstaande voorbeeld vraagt een BEC-aanvaller de ontvanger, met een COVID-19-vaccinatieconferentie als reden, om dringend alle belastingformulieren van de hele organisatie op te sturen.

 
4.    COVID-19-vaccinatieafspraak
Begin februari zag Proofpoint ook een campagne die gericht was op organisaties in de farmaceutische sector. De e-mails beweerden afkomstig te zijn van ‘DHL Express’ met als onderwerpregel ‘Confirm Your Delivery Address: COVID-19 vaccine appointment’. Deze berichten bevatten een link naar een nagemaakte DHL-verificatiepagina, met als doel de inloggegevens van de gebruiker te stelen.
 
Cybercriminelen blijven het geld volgen. Bovendien blijven zij bekende merken spoofen en vertrouwen ze op social engineering om in hun opzet te slagen - en COVID-19 heeft het voor deze criminelen nog gemakkelijker gemaakt om in te spelen op menselijke emoties.
 
Meer over
Lees ook
Bestrijders cybercriminaliteit presenteren eerste veiligheidsjaarverslag

Bestrijders cybercriminaliteit presenteren eerste veiligheidsjaarverslag

KPN, het NCSC (Nationale Cyber Security Centrum), Team High Tech Crime Unit van de politie en TNO hebben gezamenlijk het rapport  'Cyber Security Perspectives 2013' uitgebracht.  De vier organisaties die een belangrijke rol spelen bij de bestrijding van cybercriminaliteit schetsen hierin een beeld over de digitale veiligheid in Nederland. Deze wee1

Hackers misbruiken onwaakzaamheid over bekende kwetsbaarheid in netwerktijdprotocol

Hackers misbruiken onwaakzaamheid over bekende kwetsbaarheid in netwerktijdprotocol

Sommige kwetsbaarheden worden zo weinig misbruikt dat eigenlijk niemand er aandacht aan besteed. Een voorbeeld hiervan is NTP-servers. Cybercriminelen hebben onverwachts een flinke hoeveelheid aanvallen op netwerktijdprotocol (NTP)-servers uitgevoerd, waardoor zij allerlei servers van grote bedrijven konden neerhalen. Symantec meldt een plotselin1

Rechter oordeelt over nalatigheid bij fraude met internetbankieren

Rechter oordeelt over nalatigheid bij fraude met internetbankieren

De nieuwe uniforme veiligheidsregels voor online bankieren moeten duidelijkheid geven. Financieel consulent Peter Beszelsen waarschuwde echter in een column in De Telegraaf dat slachtoffers van fraude met internetbankieren voortaan zelf moeten bewijzen dat zij zich aan de regels van banken hebben gehouden. Minister van Financiën Jeroen Dijsselbloe1