Het aantal nieuwe, Oekraïne-gerelateerde domeinnamen is significant gestegen, zo blijkt uit een analyse door de Threat Intelligence Group van securityspecialist Infoblox. Sinds de Russische invasie van Oekraïne op 24 februari zijn meer dan meer dan twee keer zoveel domeinen voor het eerst waargenomen dan in de voorgaande week. Veel van deze websites zijn daadwerkelijk opgezet om Oekraïners te ondersteunen. Maar cybercriminelen maken gebruik van deze behoefte om te helpen en hebben sites opgezet die deze hulpacties nabootsen om cryptovaluta buit te maken.
De Infoblox Threat Intelligence Group heeft een uitgebreide lijst van indicatoren van cybercrime geïdentificeerd die erop kunnen wijzen dat er sprake is van fraude. Daarnaast hebben onderzoekers handmatig tientallen van de nieuwe domeinnamen geanalyseerd.
Het kan met op het eerste gezicht lastig zijn om malafide websites van het echte werk te onderscheiden. De URLs, de vormgeving en de gebruikte teksten lijken allemaal op die van legitieme initiatieven. Geautomatiseerde scans zijn tot op zekere hoogte behulpzaam, maar kunnen ook averechts werken: zo kunnen legitieme websites automatisch gemarkeerd worden als kwaadaardig als ze bijvoorbeeld linken naar gedeelde documenten. Juist daarom is handmatig onderzoek nodig om kenmerken van fraude te vinden. Daarvoor moet je verder kijken dan de homepage. Denk daarbij aan:
Naast frauduleuze websites ziet Infoblox ook e-mailcampagnes waarbij gebruikers worden verleid om een bijlage te openen met de Agent Tesla keylogger trojan. Het advies vanuit Infoblox is dan ook: wees voorzichtig.
Infoblox raadt iedereen aan niet zomaar op links naar sites of bijlagen te klikken en de legitimiteit van de links vooraf te verifiëren. Sommige sites kunnen dienen als dekmantel voor criminele groeperingen, waarmee spyware op apparaten kan worden geïnstalleerd en persoonsgegevens kunnen worden verzameld. Voordat gebruikers persoonlijke of financiële gegevens aan websites verstrekken, zou je deze altijd moeten checken bij gevestigde autoriteiten.
“Deze fraudepraktijken tonen aan dat cybercriminelen nauwlettend het nieuws in de gaten houden en bliksemsnel reageren als ze hun kans schoon zien”, zegt Dr. Renee Burton, Senior Director Threat Intelligence bij Infoblox en voorheen werkzaam bij het Amerikaanse ministerie van Defensie. “Een aantal malafide hulpsites werd binnen een dag na de invasie geactiveerd. Verschillende domeinen werden in de weken ervoor geregistreerd, wat erop wijst dat criminelen zich hebben voorbereid. Hoewel de voorkeur uitging naar cryptovaluta, vroegen de criminelen ook om bijdragen via creditcards en bankrekeningen. Ook in de Agent Tesla-campagne gebruiken criminelen de crisis om gebruikersgegevens en financiële informatie te stelen.”
Meer informatie over de analyse en deze domeinnamen, inclusief voorbeelden, is te vinden in het blog van Infoblox.
===einde persbericht===
Noot voor de redactie (niet voor publicatie):
Voor meer informatie over dit persbericht of over Infoblox neem je contact op met:
Tijs Manniën (ClarityPR), telefoon: 023 555 34 24, e-mail.
Reacties op deze content
Om reacties te kunnen plaatsen en bekijken moet je ingelogd zijn. Klik hier om in te loggen.