Tientallen organisaties en "people of interest" zijn sinds het begin van dit jaar doelwit geworden van phishingaanvallen uitgevoerd door een vanuit Rusland opererende spionagegroep, zo claimt Microsoft. De groep wordt door het techbedrijf Seaborgium genoemd en zou zich onder andere richten op het stelen van e-mails en bijlagen uit mailboxes van slachtoffers.
Voordat de spionagegroep met een phishingaanval begint vindt er eerst een verkenning van het doelwit plaats, voornamelijk gericht op contacten in het sociale netwerk of de invloedssfeer van het doelwit. Zo maken de aanvallers onder andere gebruik van LinkedIn om door middel van nepprofielen contact te leggen en een vertrouwensband op te bouwen.
Vervolgens sturen de aanvallers berichten met bijlagen of links die naar een phishingsite linken. Zodra slachtoffers op deze website de inloggegevens van hun e-mailaccount invullen proberen de aanvallers e-mails en bijlagen uit de mailbox te stelen. Ook stelen de aanvallers forwarding rules in zodat binnengekomen e-mail automatisch naar een opgegeven e-mailadres wordt doorgestuurd.
Microsoft zegt dat de aanvallers ook toegang tot mailinglistgegevens van "gevoelige groepen" hebben weten te krijgen, waaronder die van voormalige inlichtingenfunctionarissen. Deze data wordt vervolgens voor verdere aanvallen gebruikt. Volgens Microsoft zijn sinds het begin van dit jaar meer dan dertig organisaties en de persoonlijke accounts van een niet nader genoemd aantal "people of interest" doelwit geworden.
Het gaat dan met name om organisaties in de Verenigde Staten en het Verenigd Koninkrijk, alsmede de Baltische staten, Scandinavië en Oost-Europa. Om dergelijke aanvallen tegen te gaan adviseert Microsoft het gebruik van multifactorauthenticatie (MFA) voor alle gebruikers en vanaf alle locaties. Verder wordt aangeraden om veiligere MFA-implementaties te gebruiken, zoals FIDO-tokens of de Microsoft Authenticator, en sms-gebaseerde MFA te vermijden.
Deze posting is gelocked. Reageren is niet meer mogelijk.