De presidentscampagne van Hillary Clinton is het doelwit van een groep cyberspionnen geworden die via gerichte phishingmails de Gmail-accounts van campagnemedewerkers probeerden te kapen. Dat laat het Amerikaanse beveiligingsbedrijf SecureWorks in een analyse weten.

De groep wordt Pawn Storm genoemd, maar staat ook bekend als 'Sofacy', 'Sednit', 'APT28', Threat Group-4127 en 'Strontium'. Eerder werden de onderzoeksraad van MH17, verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, het CDU en Sanoma door de groep aangevallen. SecureWorks stelt met 'gematigde zekerheid' dat de groep vanuit Rusland opereert en inlichtingen voor de Russische overheid verzamelt.

De campagnemedewerkers werden aangevallen via e-mails met afgekorte Bit.ly-links. Deze links wezen naar een phishingpagina die het inlogvenster van Google nabootste. Als gebruikers op de phishingpagina inlogden hadden de aanvallers vervolgens toegang tot het account. Clinton maakt voor haar presidentscampagne gebruik van het domein hillaryclinton.com, dat voor de afhandeling van e-mail van de mailservers van Google gebruik maakt.

Volgens SecureWorks hebben de aanvallers ingespeeld op het feit dat campagnemedewerkers een Google-inlogpagina verwachtten. Tussen maart en mei van dit jaar werden 213 afgekorte links aangemaakt die voor het aanvallen van 108 e-mailadressen eindigend op hillaryclinton.com werden gebruikt. Aangezien Bit.ly bijhoudt hoe vaak een afgekorte link is geopend konden onderzoekers het effect van de phishingmails in kaart brengen. Zo bleek dat slechts 20 van de 213 afgekorte links waren geopend.

Naast de campagne-accounts hadden de aanvallers het ook voorizen op 26 persoonlijke Gmail-accounts van campagnemedewerkers, de Democratische Partij en andere Amerikaanse politici. Het gaat onder andere om de speechschrijver van Clinton. Voor deze phishingcampagne gebruikten de aanvallers 150 afgekorte links. Daarvan werden er 40 aangeklikt. Via de gekaapte Google-accounts kunnen de aanvallers toegang tot interne e-mails en mogelijk andere Google Apps-diensten krijgen, zoals Google Drive.

Volgens SecureWorks controleren gebruikers zelden de volledige url van een afgekorte link. Aanvallers kunnen via url-verkorters dan ook efficiënt hun kwaadaardige link verbergen. Om dergelijke aanvallen te voorkomen wordt geadviseerd gebruikers te onderwijzen over spearphishing, voorzichtig te zijn met afgekorte links en in het geval organisaties van Gmail gebruikmaken, gebruikers voor gespoofte inlogpagina's te waarschuwen.