Phishing is een cyberaanval waarbij het doelwit wordt benaderd door een bedreigingsactor die zich voordoet als een vertrouwde persoon of entiteit. Er zijn verschillende soorten van deze aanvallen, maar phishing via e-mail is veruit de meest voorkomende.
Bij een typische poging tot phishing via e-mail ontvangt u een bericht van een schijnbaar legitieme entiteit die u aanspoort om actie te ondernemen; bijvoorbeeld om uw wachtwoord te wijzigen of u aan te melden bij een account. Als u voor de zwendel valt, verkrijgt de aanvaller uw persoonlijke gegevens. Een dergelijke zwendel was gericht op Yahoo Mail-gebruikers.
Wat is de Yahoo Mail Service-zwendel?
Bij deze phishing-zwendel neemt de bedreigingsactor contact op met een slachtoffer en beweert hij het Yahoo Service Team te vertegenwoordigen. In de e-mail staat dat alle "oude versies" van Yahoo Mail-accounts binnenkort zullen worden gesloten en het slachtoffer wordt dringend verzocht op de knop Aanmelden bij Yahoo te klikken en log in op hun account om "serviceonderbreking" te voorkomen. Tenzij ze dit doen, worden ze "permanent buitengesloten", luidt het bericht benadrukt.
Om echt te begrijpen wat de oplichter hier probeert te bereiken, laten we de e-mail opsplitsen en de taal ontleden. Om te beginnen creëert de bedreigingsactor herhaaldelijk een gevoel van urgentie om het doelwit ervan te overtuigen op de link te klikken. Niemand wil de toegang tot zijn e-mail kwijtraken, dus dit social engineering techniek volkomen logisch, hoe rudimentair het ook mag lijken.
De "beschermen door Yahoo!" logo, evenals de inlogknop zien er redelijk overtuigend uit - er is nauwelijks verschil tussen de afbeeldingen die deze oplichter gebruikte en het echte logo van het bedrijf. Het kleurenschema is hetzelfde, het lettertype lijkt erg op elkaar en Protect by Yahoo is een echte service die Yahoo zijn klanten aanbiedt.
Merk ook op dat de bedreigingsactor geen naakte URL gebruikt, omdat dat duidelijk zou maken dat de link niet naar een officiële Yahoo-pagina leidt. In plaats daarvan vermommen ze de phishing-URL met een valse inlogknop.
Bovendien geeft Yahoo af en toe soortgelijke berichten af. Het bedrijf herinnert gebruikers er vaak aan dat het inactieve accounts sluit, of e-mailaccounts die al meer dan 12 maanden niet zijn gebruikt. Het is duidelijk dat deze specifieke dreigingsactor op de hoogte is van de praktijk en rekent erop dat het doelwit ermee bekend is om de aanval uit te voeren.
Waar leidt deze link precies naar toe? Het leidt het slachtoffer om naar een pagina die sterk lijkt op de standaard Yahoo Mail-inlogsite. Als u daar uw e-mailadres en wachtwoord zou invoeren, zou de bedreigingsactor uw informatie stelen en deze gebruiken om in te loggen op uw account.
Nadat hij toegang heeft gekregen tot uw e-mail, kan de bedreigingsactor een aantal dingen doen, waaronder het compromitteren van verbonden accounts en het stelen van uw persoonlijke gegevens. Ze kunnen u ook chanteren of gewoon uw adres gebruiken om andere phishing- en malwareaanvallen uit te voeren. De mogelijkheden zijn eindeloos.
Dus de oplichter schreef een e-mail zonder grammaticale en spelfouten, creëerde een gevoel van urgentie met vaag dreigende taal, verwezen diensten die Yahoo daadwerkelijk aanbiedt, en namen bedrijfsafbeeldingen op in hun bericht, dat kort en duidelijk was het punt. Maar ze maakten ook een aantal misstappen.
Hoe werkt de Yahoo Mail Phishing-aanval?
Voor een technisch onderlegde persoon schreeuwt deze e-mail waarschijnlijk "phishing", maar het is gemakkelijk om je voor te stellen dat iemand ouder, die niet zo goed is met technologie, op de link klikt. Trouwens, een persoon die weet waar hij op moet letten, zou meteen merken dat de e-mail niet van Yahoo kwam, maar van een willekeurig AOL-e-mailadres.
Het googelen van het e-mailadres dat de oplichter gebruikte, "[email protected]", levert maar een paar resultaten op. Echter, de e-mail testen met Have I Been Pwned? laat zien dat het bij 18 datalekken is "pwned". Dit suggereert sterk dat de phishing-e-mail niet afkomstig was van de oorspronkelijke eigenaar ervan e-mailaccount is of was, maar van een bedreigingsactor die er na een van die 18 toegang toe heeft gekregen inbreuken.
We kunnen alleen maar speculeren over hoe de cybercrimineel toegang heeft gekregen tot deze e-mail, als dat inderdaad is wat er is gebeurd. Het is bijvoorbeeld mogelijk dat ze de inloggegevens op een darkweb-marktplaats hebben gekocht of op de een of andere manier op het account hebben ingebroken omdat de oorspronkelijke eigenaar geen veilig wachtwoord heeft gebruikt.
Toch werd de zwendel in veel opzichten goed uitgevoerd. Bijvoorbeeld verschillende online tools die analyseer links en controleer of ze veilig zijn vond er geen problemen mee. Virus Total deed het echter: twee beveiligingsleveranciers, Avira en Webroot, markeerden de link als kwaadaardig en beschreven het als een phishing-scam.
Virus Total is erg handig in deze situaties, omdat het links inspecteert met meer dan 70 scanners. Met deze tool kan dat ook controleer of een gedownload bestand veilig is, in plaats van het te starten en er zelf achter te komen - en u zou dit nooit moeten doen tenzij u er 100 procent zeker van bent dat het bestand afkomstig is van een vertrouwde bron.
Er zijn andere manieren om te controleren waar een link naartoe leidt zonder erop te klikken. U kunt bijvoorbeeld een tool gebruiken genaamd Screenshot-machine. Zoals de naam al doet vermoeden, maakt Screenshot Machine screenshots van webpagina's, dus alles wat u hoeft te doen is een verdachte link kopiëren en plakken en vervolgens op Enter drukken.
Als u een computer gebruikt, is een andere eenvoudige manier om een link te bekijken, door er met de muisaanwijzer over te bewegen. Op deze manier kom je erachter waar de link daadwerkelijk naartoe gaat zonder erop te klikken. Als je dat zou doen met de link die deze dreigingsactor per e-mail heeft gestuurd, zou je snel beseffen dat deze niet echt naar de inlogpagina van Yahoo leidt.
Bescherm uzelf tegen phishing
Phishing-aanvallen komen vaak voor, maar er zijn manieren om uzelf ertegen te beschermen.
Klik nooit op verdachte links, inspecteer elke link vanaf een onbekend e-mailadres, controleer altijd waar een e-mail naartoe gaat vandaan komt, gebruik tweefactorauthenticatie en installeer sterke antimalwarebescherming op elk apparaat dat u gebruikt gebruik.
Yahoo Mail is een van de meest populaire e-mailservices die er zijn, en het is relatief veilig, net als Gmail, Outlook en andere. Maar als je om cyberbeveiliging en privacy geeft, zou je sterk moeten overwegen om over te stappen naar een versleutelde e-mailprovider.
