Beveiligingsbedrijf SecureWorks heeft internetgebruikers gewaarschuwd voor afgekorte links in e-mails, aangezien een beruchte groep cyberspionnen hiervan gebruikmaakt om Google-accounts te kapen. De e-mails bevatten een via Bitly afgekorte link die naar een phishingpagina wijst.
Op deze pagina wordt gebruikers gevraagd om op hun Google-account in te loggen. Internetgebruikers zouden echter zelden de originele afgekorte link controleren en zo risico lopen dat hun gebruikersnaam en wachtwoord worden gestolen. Onderzoekers van SecureWorks analyseerden zo'n 4400 afgekorte links die naar 1881 Google-accounts waren gestuurd. Meer dan de helft van de links (59%) was geopend. Bitly laat namelijk zien hoe vaak een afgekorte link is geopend.
Of het ook de ontvangers waren die de link openden en of ze vervolgens hun inloggegevens op de phishingpagina invoerden is onbekend. De meeste accounts waren het doelwit van meerdere phishingmails. 35% van de accounts die de phishinglink opende kreeg echter geen aanvullende phishingmails, wat volgens SecureWorks suggereert dat de aanvallers het account waarschijnlijk hadden overgenomen. De aanvallen die zijn waargenomen waren gericht tegen overheidspersoneel, journalisten, onderzoekers, politieke activisten en militair personeel in zowel Rusland als daarbuiten.
Volgens SecureWorks is de spionagegroep, met de naam Pawn Storm, vooral een dreiging voor personen en organisaties in Rusland en voormalige Sovjetlanden. De groep is echter ook actief in West-Europa en de verenigde Staten. Het gaat dan voornamelijk om defensiebedrijven en overheidsorganisaties, personen die zich met de Amerikaanse politiek bezighouden, militair personeel, overheidslogistiek en personen en organisaties die negatief over Rusland zijn. Eerder werden ook de onderzoeksraad van MH17, verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, het CDU, Sanoma en de presidentscampagne van Hillary Clinton door de groep aangevallen.
SecureWorks stelt dat internetgebruikers zelden de volledige link in adresbalk controleren die via Bitly of een andere dienst is afgekort. Spionagegroepen kunnen op deze manier hun phishingsites effectief verbergen. Daarnaast bieden de url-afkorters ook statistieken, waardoor eenvoudig kan worden gezien welke phishingaanvallen werken en welke niet. De gekaapte Google-accounts kunnen allerlei waardevolle informatie opleveren, waarmee de aanvallers nieuwe aanvallen op de organisatie kunnen uitvoeren. Het beveiligingsbedrijf adviseert organisaties dan ook om het personeel over het risico van gerichte phishingaanvallen en afgekorte links voor te lichten en voorzichtig te zijn met afgekorte links in ongevraagde e-mails.
Deze posting is gelocked. Reageren is niet meer mogelijk.