De Amerikaanse overheid waarschuwt voor phishingaanvallen die de Russische geheime dienst FSB zou uitvoeren. Onder andere personen en organisaties in het Verenigd Koninkrijk zouden zijn aangevallen. Voor het uitvoeren van de aanvallen maken de aanvallers gebruik van openbronnenonderzoek, waarbij informatie wordt verzameld afkomstig van social media en 'zakelijke professionele netwerkplatforms'.
Vervolgens maken de aanvallers e-mailaccounts aan die lijken op bekende contacten van het doelwit. Ook maken de aanvallers profielen aan die op die van bekende experts lijken. Verder maken de aanvallers domeinnamen aan die lijken op die van legitieme organisaties. Daarbij hebben de aanvallers het voornamelijk voorzien op de persoonlijke e-mailadressen van doelwitten.
De aanvallers zullen het eerste contact met een doelwit laten gaan over een onderwerp dat de interesse van het doelwit heeft. Vervolgens wordt er een vertrouwensband opgebouwd. Zodra deze band er is sturen de aanvallers een malafide link die naar een website of document zou wijzen. In werkelijkheid gaat het om een phishingsite. Daarbij maken de aanvallers gebruik van het Evilginx man-in-the-middle framework om inloggegevens en sessiecookies van het doelwit te stelen, om zo tweefactorauthenticatie te omzeilen.
Met de gestolen gegevens krijgen de aanvallers toegang tot de inbox van hun slachtoffers en stelen vervolgens e-mails en bijlagen. Daarnaast maken ze forwarding rules aan, zodat inkomende e-mail automatisch naar een opgegeven e-mailadres wordt doorgestuurd. Verder maken de aanvallers gebruik van de contactlijst van het slachtoffer en mailinglists waar die toegang toe heeft voor verdere activiteiten. Ook worden gecompromitteerde e-mailaccounts voor phishingaanvallen gebruikt. De Amerikaanse autoriteiten adviseren onder andere het inschakelen van multifactorauthenticatie en het uitschakelen van mail-forwarding.
Deze posting is gelocked. Reageren is niet meer mogelijk.