Een nieuwe phishing-tool die beveiligingsfirma RSA opmerkte zorgt ervoor dat alleen de slachtoffers de meegeleverde link kunnen openen. Onderzoekers die de phishing-aanval forensisch willen uitpluizen, landen niet op de malwarepagina, maar krijgen een 404-error. Volgens het beveiligingsbedrijf worden mensen die wel 'toestemming' hebben voorzien van malware die credentials steelt.

Uistmijter filtert publiek

Volgens RSA zorgt de tool, die ze 'Bouncer' hebben gedoopt, ervoor dat slachtoffers een gericht ID waaraan een unieke url is gekoppeld, zodat alleen zij de malafide site kunnen bereiken. Fraudespecialist Limor Kessem van RSA zegt dat de tool werkt als een uitsmijter bij een populaire club. “Als je naam niet op de lijst staat, blijf je buiten staan", schrijft de onderzoeker.

De spearhead-phishinglijst wordt samengesteld aan de hand van buitgemaakte e-mailadressen die vervolgens worden gesorteerd om een specifieke organisatie te bereiken. Volgens Kessem zijn dit adressen die eerder zijn gelekt bij een hack. Zo verschijnen lijsten van verzamelde e-mailadressen regelmatig op Pastebin.

Onderzoekers gedwarsboomd

“Het doel ervan is dat researchers geen onderzoek kunnen doen naar de phishing-aanval", vertelt DearBytes-directeur Erik Remmelzwaal. De malwareverspreiders doen van tevoren onderzoek naar de slachtoffers om zo'n unieke identifier te maken. “Ze kunnen bijvoorbeeld aan de hand van e-mail-informatie IP-adressen van een bedrijf achterhalen en die koppelen aan de aanval."

Een url waarachter een exploitkit draait die malware aflevert bij de bezoekers van de site wordt vervolgens bijvoorbeeld voorzien van zo'n ID zodat alleen het doelwit van de phishing-aanval de link kan openen. “Dit is in de lijn van de laatste versie van de Blackhole exploitkit, waarbij een url maar één keer kan worden bezocht. Daarna wordt de link uitgeschakeld", zegt de DearBytes-onderzoeker.