Auteur: Siddharth Jethwani, Security Analist
Tijdens een recente advanced threat-huntingoperatie ontdekte het Pinewood Security Operations Center een nieuwe phishingcampagne die rondgaat binnen bedrijven in de voedingsproductie- en transportsector. Hoewel de e-mail op het eerste gezicht legitiem lijkt, onthult een nadere blik meerdere klassieke rode vlaggen én een slim vermomde poging tot het stelen van inloggegevens.
Wat hebben we gevonden?
De phishingpoging komt binnen als een e-mail die lijkt te gaan over het delen van een document. Dit viel direct op:
- Afzenderadres: xxxx@xxxx.com (anoniem gemaakt)
- Weergavenaam afzender: Doc Portal
- Onderwerpregel: Een combinatie van de bedrijfsnaam + “Document.pdf” + drie willekeurige karakters (bijv. Pinewood Document.pdf JiT)
- Kwaadaardige URL:
o Voorbeeld: https://companyname[.]cubiertasnfumbe[.]com/ext
o Bijvoorbeeld: https://pinewood.cubiertasnfumbe[.]com/ogfVmrrii9
De mismatch tussen het e-mailadres van de afzender en de getoonde naam is op zichzelf al verdacht. Maar het echte gevaar begint zodra een slachtoffer op de link klikt. Tot nu toe zijn twee verschillende tactieken waargenomen.
Tactiek 1
Wanneer de ontvanger de URL opent, komen ze terecht op een schijnbaar onschuldige webpagina waarop staat dat het account is suspened en dat ze contact moet opnemen met hun hosting provider:
Als de gebruiker vervolgens op “contact your hosting provider” klikt, worden ze doorgestuurd naar een pagina die zorgvuldig is nagemaakt om te lijken op een legitiem Outlook-inlogscherm:
Deze pagina is ontworpen om gebruikers hun Microsoft-inloggegevens te ontfutselen.
Tactiek 2
Wanneer de gebruiker op de phishinglink in de e-mail klikt, komen ze op de volgende pagina terecht:
Deze pagina lijkt sterk op een legitieme SharePoint-omgeving. Gebruikers worden gevraagd hun inloggegevens in te voeren.
Zodra zij dit doen en klikken op “continue with Microsoft SharePoint”, worden ze doorgestuurd naar een PWP-presentatie:
Ook hier worden gebruikers in een vals gevoel van veiligheid gelokt. Beide tactieken leiden uiteindelijk tot hetzelfde doel: het stelen van login-gegevens die onmiddellijk in handen van de aanvallers komen.
Een enkele klik kan voldoende zijn om de mailbox van een medewerker te compromitteren, gevoelige bedrijfsinformatie bloot te leggen of aanvallers toegang te geven tot bredere bedrijfsomgevingen.
Hoe Blijf Je Veilig?
Om jouw organisatie te beschermen, raden we het volgende aan:
- Blokkeer of onderdruk e-mails van vera.indino@realigro.com via je threat-intelligence- of e-mailbeveiligingstools.
- Herinner medewerkers eraan alert te blijven op afwijkende afzendernamen, onverwachte documentverzoeken en URL’s die niet overeenkomen met bekende bedrijfsdomeinen.
- Moedig medewerkers aan verdachte e-mails te melden bij het securityteam in plaats van erop te klikken.
- Sluit je aan op het Pinewood Security Operations Center (SOC).
Phishingcampagnes zoals deze worden steeds geavanceerder, maar met bewustzijn en sterke detectiemaatregelen kan een organisatie een stap voor blijven.
Blijf waakzaam!
