Check Point Research (CPR), de Threat Intelligence-tak van Check Point Software Technologies, leverancier van cyberbeveiligingsoplossingen, publiceert het Brand Phishing Report voor Q3 2022. Het rapport belicht de merken die het vaakst werden geïmiteerd door cybercriminelen in hun pogingen om persoonlijke informatie of betalingsgegevens van individuen te stelen gedurende het kwartaal. DHL nam het afgelopen kwartaal de eerste plek in, met tweeëntwintig procent van alle phishing-pogingen wereldwijd.
LinkedIn was het meest geïmiteerde merk in zowel het eerste als het tweede kwartaal van 2022, maar in het derde kwartaal neemt DHL die plaats in. Microsoft staat op de tweede plaats (16 procent). LinkedIn volgt als derde met nog slechts 11 procent, vergeleken met 52 procent in het eerste kwartaal en 45 procent in het tweede kwartaal. De stijging van DHL kan deels te wijten zijn aan een grote wereldwijde zwendel- en phishing-aanval die de logistieke gigant enkele dagen voor het begin van het kwartaal trof. Instagram is dit kwartaal ook voor het eerst in de top tien verschenen, na een ‘blue-badge’-gerelateerde phishing-campagne die in september werd gemeld.
Verzendbedrijven zijn, na de technologiesector, een van de topsectoren voor merkphishing. Nu de drukste winkelperiode van het jaar start, blijft CPR verzendingsgerelateerde oplichting volgen. Het verwacht dat bedreigingsactoren hun inspanningen zullen opvoeren om te profiteren van online shoppers.
Top phishing-merken in Q3 2022
1. DHL (gerelateerd aan 22 procent van alle phishing-aanvallen wereldwijd)
2. Microsoft (16 procent)
3. LinkedIn (11 procent)
4. Google (6 procent)
5. Netflix (5 procent)
6. WeTransfer (5 procent)
7. Walmart (5 procent)
8. Whatsapp (4 procent)
9. HSBC (4 procent)
10. Instagram (3 procent)
Bij een merkphishing-aanval proberen criminelen de officiële website van een bekend merk te imiteren door een vergelijkbare domeinnaam of URL en webdesign te gebruiken als de echte site. De link naar de nepwebsite kan per e-mail of sms naar gerichte personen worden verzonden, een gebruiker kan worden omgeleid tijdens het surfen op het web of de link kan worden geactiveerd vanuit een frauduleuze mobiele applicatie. De nepwebsite bevat vaak een formulier dat bedoeld is om de inloggegevens, betalingsgegevens of andere persoonlijke informatie van gebruikers te stelen.
Voorbeeld DHL phishing e-mail accountdiefstal
Onder de campagnes die de merknaam van DHL gebruikten, vonden de onderzoekers van CPR een kwaadaardige phishing-e-mail die werd verzonden vanaf een webmailadres “info@lincssourcing[.]com” en zich door spoofing voordeed als verzonden door “DHL Express”. De e-mail bevatte het onderwerp “Undelivered DHL(Parcel/Shipment)” en probeert het slachtoffer over te halen om op een kwaadaardige link te klikken. De mail beweert dat er een levering onderweg is waarvoor het afleveradres bijgewerkt moet worden. De link leidt vervolgens naar een kwaadaardige website waar het slachtoffer de gebruikersnaam en het wachtwoord moet invoeren.
“Phishing is de meest voorkomende vorm van social engineering, een algemene term voor pogingen om gebruikers te manipuleren of te misleiden. Het is een steeds vaker voorkomende bedreigingsvector die bij de meeste beveiligingsincidenten wordt gebruikt”, aldus Zahier Madhar, Security Engineer Expert bij Check Point. “In het derde kwartaal zagen we een dramatische vermindering van het aantal phishing-pogingen met betrekking tot LinkedIn, wat ons eraan herinnert dat cybercriminelen vaak van tactiek zullen veranderen om hun kansen op succes te vergroten. Nu DHL het merk is dat het meest wordt geïmiteerd, is het van cruciaal belang dat iedereen die een levering verwacht, rechtstreeks naar de officiële website gaat om de voortgang en/of meldingen te controleren. Vertrouw geen e-mails, vooral niet die waarin wordt gevraagd om informatie te delen.”