Gerichte spam maakt 15 duizend slachtoffers
Gepubliceerd: Vrijdag 6 juni 2008
Auteur: Martin Gijzemijter
In de afgelopen vijftien maanden hebben twee criminele groepen gegevens gestolen van meer dan 15 duizend mensen, met behulp van spear-phishing-aanvallen.
Dit blijkt uit cijfers van beveiligingsbedrijf Verisign, die sinds 2007 66 van deze aanvallen heeft getraceerd, meldt PC World. Het bedrijf is ervan overtuigd dat 95 procent van de aanvallen is terug te leiden naar slechts twee criminele groepen.
Spear-phishing is een variant op phishing, waarbij e-mails gericht naar specifieke doelwitten worden verzonden en ook persoonlijke informatie bevatten zoals de naam van de ontvanger of van zijn werkgever, waardoor de kans toeneemt dat de email geopend wordt.
Wanneer de ontvanger klikt op de link die in de e-mail wordt gegeven, wordt hij omgeleid naar een kwaadaardige website, die een backdoor opent op de pc.
Geperfectioneerd
Volgens Verisign hebben de aanvallers in de eerste maanden van 2007 vooral verschillende varianten van de techniek uitgeprobeerd en gaan ze er nu pas echt serieus mee aan de slag. Volgens Matthew Richard, hoofd van Verisign's iDefense Rapid Response Team, is er de afgelopen twee maanden een flinke piek gesignaleerd in deze vorm van cybercrime: "De bad guys hebben de technologie weten te perfectioneren. Daarbij blijken vrijwel alle e-mails gericht op het bedrijfsleven."
Succesvolle aanval
In april van dit jaar werd de meest 'succesvolle' spear-phish aanval tot nu toe uitgevoerd. Er werd een e-mail verzonden naar de leiding van een groot aantal bedrijven met de mededeling dat zij werden aangeklaagd. Volgens Richard werkte deze aanval vooral omdat het nieuw was en inspeelde op een angst: "De e-mail met de dreiging van een rechtszaak heeft mensen echt verrast, vooral op beleidsniveau. De angst voor een aanklacht heeft veel mensen ertoe bewogen om de e-mails te openen.
Begin van meer aanvallen
In mei van dit jaar werden volgens Verisign meer dan 2.000 mensen het slachtoffer van spear-phish-aanval die afkomstig zou zijn van de Amerikaanse belanstingdienst of het Better Business Bureau, een soort Consumentenautoriteit. Richard heeft laten weten dat we in de toekomst nog veel meer van dit soort aanvallen kunnen verwachten: "Nu dat deze techniek is ontwikkeld en zelfs verfijnd, zullen dit soort aanvallen achter elkaar uitgevoerd worden."
