Nieuwe phishingaanval op Gmail-gebruikers is moeilijk te herkennen

Een nieuwe phishingaanval gericht op Gmail-gebruikers is opgedoken. Beveiligingsonderzoekers waarschuwen dat de aanval vakkundig is opgezet, zeer geloofwaardig overkomt en ook technisch georiënteerde gebruikers om de tuin kan leiden.

Wordfence trekt aan de bel over de nieuwe phishingaanval, waarbij aanvallers gericht doelwitten aanvallen. Wordfence is het bedrijf achter de gelijknamige WordPress beveiligingsplugin. De aanval start vanaf een gekraakt Gmail-account. In de ontvangen berichten van dit account zoeken de aanvallers naar een recent verzonden e-mail met een bijlage die vanaf een Gmail-account is verstuurd. Vervolgens maken de aanvallers een screenshot van deze bijlage en sturen deze afbeelding als bijlage in een reactie naar de verzender van de e-mail. Hierbij wordt bewust dezelfde of een nagenoeg gelijke onderwerpregel gebruikt, zodat deze herkent wordt door de ontvanger en minder wantrouwen wekt.

Inlogpagina

Door deze actie wordt de screenshot weergegeven als afbeelding in de e-mail en lijkt op het eerste oog een legitieme bijlage te zijn aan het bericht. Zodra de ontvanger de bijlage echter probeert te openen wordt een nagemaakte inlogpagina van Gmail getoond en de gebruiker gevraagd opnieuw in te loggen. Wie dit doet stuurt zijn inloggegevens door naar de aanvallers.

Wordfence waarschuwt dat de phishingpagina een zeer goede kopie is van de inlogpagina van Google en hierdoor niet eenvoudig te herkennen is. De URL wijkt weliswaar af, maar bevat ‘accounts.google.com’ als subdomein. Dit is volgens Mark Maunders, CEO van het bedrijf, voldoende om veel gebruikers om de tuin te leiden. Hierbij wordt gebruikt gemaakt van een data URI, waarmee kleine databestanden kunnen worden opgenomen in een URL. Via deze data URI wordt de valse inlogpagina voor Google gegenereerd.

Contactpersonen van slachtoffers worden aangevallen

Zodra de gebruikers de inloggegevens van het slachtoffer in handen hebben wordt direct ingelogd op het account, waarna de cyclus opnieuw begint. De aanvallers doorzoeken recent ontvangen berichten van het slachtoffer, kiezen een e-mail met een bijlage en versturen een phishingmail naar de verzender van deze e-mail.

Wordfence adviseert gebruikers altijd waakzaam te zijn op afwijkende URL’s en URL’s volledig te controleren. De URL die gebruikers bij deze aanval krijgen voorgeschoteld bevat een grote hoeveelheid tekst, die wordt verborgen door deze tekst met veel witte ruimte te scheiden van de URL die gebruikers in hun URL zien. De tekst wordt dus wel getoond, maar staat simpelweg buiten beeld doordat een zeer lange URL wordt gebruikt. Daarnaast wijst het bedrijf op de tekst ‘data:text/html’ aan het begin van de URL. Dit stuk wordt door veel gebruikers over het hoofd gezien stelt Wordfence, aangezien zij vooral zoeken naar ‘https’.

De data URI die tijdens de aanval wordt getoond (bron: Wordfence)

De verborgen tekst in de data URI die tijdens de aanval wordt getoond (bron: Wordfence)