Door Marc Laliberte
Laatst bereikte een PayPal phishing-mail de inbox van mijn persoonlijke e-mail. Het is niet gewoon dat een phishing-e-mail zich een weg baant langs het spamfilter van mijn cloud-mailprovider, dus ik besloot een sandbox te maken voor het geval dat er malware in het spel was en dook erin.
Het haakje in de tekst van het bericht was niets bijzonders. De mail deed zich voor als een e-mail van PayPal en liet me weten dat de toegang tot mijn account beperkt was door verdachte activiteiten. Een paar details in de formulering van het bericht waren duidelijke aanwijzingen dat de bron niet legitiem was. Ten eerste omdat PayPal altijd mijn volledige naam opneemt in de berichten die ze me sturen. Het generieke “Beste klant” was een verandering van de norm en de eerste rode vlag. En ook de eerste zin was vreemd. “Onze technische support en klantenafdeling heeft onlangs activiteiten in uw account verdacht.” Een betere openingszin zou zijn “…heeft onlangs verdachte activiteiten op uw account geïdentificeerd” of iets in die richting.
Afgezien van de inhoud van het bericht waren er nog meer overduidelijke rode vlaggen in de bericht-headers. Bijvoorbeeld, het “Van” header was vermomd als een paypal e-maildomein, hoewel het eigenlijke afzenderadres phonedisney[.]com was, een domeinnaam die slechts enkele dagen voor de e-mail werd geregistreerd.
Nog interessanter was dat het bericht naar 180 verschillende e-mailadressen was verstuurd in de “To” header, en naar e-mailadressen die allemaal alfabetisch sterk op mijn eigen e-mailadres leken. Hoe de aanvaller het gebruik van BCC niet heeft ontdekt is mij een raadsel.
De link in de e-mail maakte gebruik van een URL-verkortingsdienst die werd gehost op het domein meansfat[.]com. De site zelf lijkt te zijn gebouwd op cPanel en maakt gebruik van een URL-verkorteringsplugin of -service die ik niet ken. Door een paar gewijzigde versies van het originele linkpad te bezoeken, kwam een fout aan het licht die aangeeft dat de verkorter met een soort API communiceert. Een zoekopdracht op Google naar een paar van deze strings laat zien dat verschillende andere sites blijkbaar dezelfde service gebruiken.
De originele link van de phishing-mail redirects naar service-account[.]genuinelysmash[.]com met het URL-pad dat een willekeurig gegenereerde en schijnbaar unieke sleutel bevat die aan de bezoeker is gekoppeld en in een sessiecookie is opgeslagen. De webserver die de phishing mail host, controleert of de gebruiker die aan die sleutel is gekoppeld, al door elk formulier in de mail is gegaan en als ze dat zo is, stuurt hij ze door naar de echte paypal.com-website. Deze functionaliteit kan voorkomen dat een achterdochtig slachtoffer (of een analist) een tweede keer door de invoerformulieren heen gaat en de lokale sessieopslag wist.
De eerste pagina voor de phishing mail is eenvoudig en ontworpen om eruit te zien als een PayPal-loginformulier. Zowel de “problemen met inloggen” als de “aanmeldings”-links gaan direct naar legitieme PayPal-adressen, terwijl de “aanmelden”-link de ingevoerde gegevens naar de door de aanvaller gecontroleerde server stuurt.
Na het indienen van de gegevens, of deze nu geldig of ongeldig zijn, wordt op de volgende pagina een melding weergegeven dat het account van het slachtoffer beperkt is, en wordt er een link naar “Mijn account beveiligen” getoond.
De volgende pagina vraagt om informatie die je zou kunnen verwachten om een PayPal-rekening te ontgrendelen, of eigenlijk, om iemands identiteit over te nemen, met inbegrip van naam, adres, telefoonnummer, sofi-nummer en meisjesnaam van de moeder”.
Op de volgende pagina wordt om creditcardinformatie gevraagd. Interessant is dat de pagina het creditcardnummer daadwerkelijk valideert met behulp van het Luhn algoritme en voorkomt dat er duidelijk valse nummers worden ingevoerd.
Na het invoeren van een “geldig” creditcardnummer (d.w.z. een nummer dat de geldigheidscontrole doorstaat), leidt de pagina de gebruiker uiteindelijk door naar paypal.com/signin. Vanwege de cookies en sessiegegevens kan het slachtoffer niet teruggaan door het formulier zonder de opgeslagen gegevens voor de site te resetten.
Over het geheel genomen gebruikte de phishingmail overtuigend uitziende elementen om een legitiem PayPal-formulier na te bootsen. Als het slachtoffer de URL of een van de rode vlaggen in het e-mailbericht zelf niet opmerkt, zou hij of zij in deze aanval kunnen trappen. Hopelijk toont dit aan hoe belangrijk het is om elke ongevraagde e-mail met argwaan te behandelen. Als je een e-mail met een call-to-action ontvangt van een gevoelige dienst als PayPal, is het altijd de moeite waard om handmatig naar de site zelf te surfen in plaats van op e-maillinks te klikken en bij twijfel gewoon de telefoon te pakken en te bellen.
Het goede nieuws is, dat als je een WatchGuard klant bent, de DNSWatch-service alle domeinen die met deze phishing mail samenhangen blokkeert. Als DNSWatch is ingeschakeld, worden de slachtoffers van deze phishing mail omgeleid naar een korte phishing-awareness training-video of een spel om ze te leren hoe ze de rode vlaggen kunnen herkennen.
Werken op afstand wordt steeds meer het nieuwe normaal en dat brengt naast voordelen ook risico’s met zich mee. Wat zijn de gevolgen van de toename van werken op afstand? Bekijk de resultaten van een onderzoek onder IT-beheerders en managers naar de staat van de beveiliging van het personeel op afstand.
Download de whitepaper The state of off-prem security