Organisaties waarschuwen voor phishingcampagne via gemailde pdf-bestanden

Cybercriminelen proberen de inloggegevens voor Proton- en Google-accounts te stelen via een spearphishingaanval met zogenaamd versleutelde of beveiligde pdf-bestanden. Daarvoor waarschuwen Citizen Lab en Access Now.

Criminelen doen zich bij de aanval voor als een bekende van het slachtoffer, zeggen Citizen Lab en Access Now op basis van eigen onderzoek. De gebruikte e-mailadressen verschillen vaak maar op één karakter van het echte adres. Het slachtoffer ontvangt een e-mail van deze zogenaamde bekende met een pdf-bestand dat beschermd zou zijn met bijvoorbeeld ProtonDrive. Om het bestand te kunnen zien, moet het slachtoffer eerst inloggen. Het bestand biedt daarvoor een link die naar een phishingpagina verwijst.

Citizen Lab en Access Now stellen dat de aanvallen worden uitgevoerd door twee verschillende groepen: Coldriver en Coldwastrel. Coldriver is volgens de organisaties gelieerd aan de Russische geheime dienst FSB. De twee groepen richten zich onder meer op investeerders, ambtenaren, Russische oppositie, de media en organisaties voor de geestelijke gezondheidszorg.

De onderzoekers adviseren om alert te zijn op versleutelde en beveiligde pdf-bestanden. Daarnaast raden ze aan om tweestapsverificatie te gebruiken, maar dan via bijvoorbeeld beveiligingssleutels. Er zijn namelijk al slachtoffers geweest die 2FA wel hadden ingeschakeld, maar werden verleid om de codes in te voeren.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 15-08-2024 08:17
13 • submitter: wildhagen

15-08-2024 • 08:17

13

Submitter: wildhagen

Lees meer

Google Cloud gaat multifactorauthenticatie vanaf volgend jaar verplichten
Google Cloud gaat multifactorauthenticatie vanaf volgend jaar verplichten Nieuws van 6 november 2024
Man van 28 aangehouden voor bezit en verspreiding van phishingpanels
Man van 28 aangehouden voor bezit en verspreiding van phishingpanels Nieuws van 26 september 2024
Microsoft Sway wordt misbruikt in grootschalige phishingcampagne met QR-codes
Microsoft Sway wordt misbruikt in grootschalige phishingcampagne met QR-codes Nieuws van 29 augustus 2024
OM eist drie jaar celstraf tegen verdachte van creditcardphishing
OM eist drie jaar celstraf tegen verdachte van creditcardphishing Nieuws van 26 augustus 2024
WeTransfer-links blijven voortaan langer geldig
WeTransfer-links blijven voortaan langer geldig Nieuws van 22 augustus 2024
Nederlandse maker van 'multifunctionele phishingtool' krijgt 3 jaar celstraf
Nederlandse maker van 'multifunctionele phishingtool' krijgt 3 jaar celstraf Nieuws van 24 juli 2024
Cybercriminelen misbruiken CrowdStrike-incident om malware te verspreiden
Cybercriminelen misbruiken CrowdStrike-incident om malware te verspreiden Nieuws van 22 juli 2024
Forum Standaardisatie: veel overheidsdomeinen voldoen niet aan beveiligingseisen
Forum Standaardisatie: veel overheidsdomeinen voldoen niet aan beveiligingseisen Nieuws van 18 juli 2024
OM eist 3,5 jaar cel tegen Nederlandse maker van 'multifunctionele phishingtool'
OM eist 3,5 jaar cel tegen Nederlandse maker van 'multifunctionele phishingtool' Nieuws van 9 juli 2024
Parket Oost-Vlaanderen stelt ondergrens in van 1000 euro voor internetoplichting
Parket Oost-Vlaanderen stelt ondergrens in van 1000 euro voor internetoplichting Nieuws van 8 juli 2024
FIA is getroffen door een phishingaanval
FIA is getroffen door een phishingaanval Nieuws van 5 juli 2024
Cybercriminelen stelen miljoenen telefoonnummers van Authy
Cybercriminelen stelen miljoenen telefoonnummers van Authy Nieuws van 4 juli 2024
Meer producten en artikelen
Beveiliging en antivirus Criminaliteit Phishing

Reacties (13)

-Moderatie-faq
13
13
6
0
0
4
Wijzig sortering
HansRemmerswaal 15 augustus 2024 08:25
Misschien tijd dat mail diensten een waarschuwing laten zien als er een mail is met een email adres die lijkt op die van een bekende? Dus stel je hebt de laatste jaren via email contact gehad met beste.vriend@gmail.com en je krijgt nu opeens een mail van beste.vrieend@gmail.com dat je een duidelijke melding krijgt dat dit een onbekend contact is en mogelijk spam of phishing.
F_J_K Forummoderator @HansRemmerswaal15 augustus 2024 08:38
Binnen MS365 heb je dergelijke impersonation protection-functionaliteit: als mijn collega Jan.Jansen@bedrijf.local is en ik krijg mail van Jan.Jansen@gmail waar ik nooit mee heb gemaild, krijg ik een melding dat het mogelijk phishing is.

Nadeel: false positives. Is alleen te gebruiken voor 'VIPs'.

Edit @Phuncz wat je als betere aanduiding typt, is precies hoe dat al werkt ja.

[Reactie gewijzigd door F_J_K op 15 augustus 2024 08:56]

Phuncz @F_J_K15 augustus 2024 08:45
Dit gaat alleen werken als het probleem daadwerkelijk aangeduid wordt en correct toegelicht wordt. Zolang men verwacht dat de gemiddelde persoon zelf op onderzoek gaat wat het probleem is, zal er enkel door mensen met een bovengemiddelde achterdochtigheid dit opvolgen.

Het zou beter zijn als de mail apps het zouden aanduiden:
Onbekende afzender "beste.vrieend@gmail.com" lijkt sterk op een bekende afzender "beste.vriend@gmail.com", bent u zeker dat dit dezelfde persoon is ?
SinergyX @F_J_K15 augustus 2024 09:01
Dan gooi je er een stukje tekst in 'tijdelijk ander emailadres, ben mn wachtwoord kwijt' of 'in opdracht van <insert bekende>' en je hebt de eerste lading al te pakken.

Wij krijgen de melden bij zo'n beetje iedereen die je bv een maand niet gemailed heb, maar als jij van iemand maar slechts 2-3 per jaar wat berichten krijgt (maar wel goed kent), mensen leunen er per saldo meteen op en laten hun eigen controle varen, 'want systeem doet de check wel'.

En vergeet niet dat ze ook prima de phising vanuit de persoon kunnen sturen, de laatste aanvallen die wij hebben gehad waren allemaal 'compromised' accounts van klanten, gewoon legitieme mailadressen.
CivLord @F_J_K15 augustus 2024 10:43
Ook @Phuncz

Wanneer je veel met familieleden emailt en dus om de haverklap melding krijgt dat a.j.jansen@gmail erg lijkt op j.a.jansen@gmail en aj.jansen@gmail, iedere keer dat er een nieuw familielid digitaal gaat, of na het verlies van de inloggegevens een nieuw account heeft aangemaakt, dan klik je die waarschuwing op een gegeven moment automatisch dicht, ook wanneer het op een gegeven moment gaat om "CEO Bedrijf" <CEO.bedrijf@gmail.com>, terwijl je normaal gesproken mailt met "CEO Bedrijf" <CEO@bedrijf.com>.
Room42 @CivLord15 augustus 2024 15:04
Dan heb je in ieder geval alle mensen gewaarschuwd die deze situatie niet hebben. ;)
kodak
@HansRemmerswaal15 augustus 2024 09:00
Een goed spamfilter doet dat. Het probleem is alleen dat veel mail diensten liever spamfilters toepassen waar de gebruikers nauwelijks inzicht hebben in waar het op gaat filteren en de gebruiker nauwelijks inspraak heeft in de werking. Met als gevolg dat die spamfilters niet zomaar goed filteren en waarschuwen.

Het is niet voor niets dat gebruikers een eigen mailclient kunnen hebben. Dan heb je namelijk ook zelf nog enige controle over filtering. Want er op vertrouwen dat de mail diensten wel weten wat betrouwbaar voor je is was 30 jaar geleden al achterhaald.
Ozzie @HansRemmerswaal15 augustus 2024 13:58
Google Workspaces doet dat wel merkte ik laatst. Kreeg een mail van beste.vriend@gmail.com ipv beste.vriend@mijnbedrijf.nl en toen kwam er netjes een melding in beeld dat dit mogelijk niet de afzender was die ik verwachtte maar iemand van buiten het bedrijf.
oef! @HansRemmerswaal15 augustus 2024 08:55
Eerlijk gezegd heb ik liever niet dat protonmail een log bijhoudt van wie me gemailed heeft.
kimborntobewild 15 augustus 2024 08:43
Tijd voor levenslange celstraffen voor zulke criminelen.
FairPCsPlease 15 augustus 2024 12:18
Ik vraag mij af waarom die criminelen-/spionnenorganisaties Coldriver en Coldwastrel of wat het dan ook zijn, het specifiek gemunt hebben op 'organisaties voor de geestelijke gezondheidszorg'?
xenn99 @FairPCsPlease15 augustus 2024 12:49
Wellicht een mooie lijst om van te rekruteren?
Mensen met psychologische problemen zijn vaak makkelijker te beïnvloeden en mogelijk te sturen om in Europa chaos te veroorzaken.
FairPCsPlease @xenn9915 augustus 2024 13:49
Klinkt aannemelijk, maar dat zou echt walgelijk zijn, als ze daarom juist op systemen in willen breken om psychisch kwetsbare mensen te exploiteren op zo'n manier!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq