Phishing wordt steeds geraffineerder: nu maken cybercriminelen zelfs misbruik van beveiligingssoftware die juist bedoeld is om ons te beschermen. Via een nieuwe aanvalstechniek, ‘link wrapping’, weten ze door de digitale verdediging van bedrijven en e-mailsystemen heen te breken.
De meeste e-mailbeveiligingsdiensten herschrijven en controleren verdachte links automatisch, zodat jij niet per ongeluk op een gevaarlijke website terecht komt. Maar juist deze beschermlaag blijkt een zwakke plek. Hackers hebben namelijk een manier gevonden om deze beveiligingsfunctie op een slimme manier te misbruiken.
Link wrapping als Trojaans paard
De techniek die hier misbruikt wordt heet link wrapping, en wordt onder andere gebruikt door diensten als Proofpoint en Intermedia. Daarbij worden alle URL’s in binnenkomende e-mails herschreven naar een ‘veilige’ domeinnaam van de beveiligingsdienst. Wie op de link klikt, wordt eerst langs een scanner geleid die controleert of de website legitiem is. Dit moet gebruikers dus beschermen tegen bekende phishingwebsites en malware.
Het probleem ontstaat echter wanneer een kwaadaardige link nog niet als verdacht is gemarkeerd door de scanner, wat vaak het geval is bij nieuwe phishingcampagnes. In dat geval wordt de link gewoon doorgelaten en werkt de bescherming dus niet. Precies dat lek wordt nu dus misbruikt door hackers.
Gemanipuleerde links via betrouwbare accounts
Aanvallers bedenken steeds slimmere manieren om phishingmails geloofwaardig te laten lijken. Uit onderzoek van Cloudflare blijkt dat ze daarbij vaak gebruikmaken van gehackte e-mailaccounts. De verzonden berichten ogen betrouwbaar, maar bevatten stiekem kwaadaardige links. Die links worden eerst ingekort met diensten als Bit.ly of TinyURL en daarna verpakt in een zogenoemde ‘wrap-link’ van een bekende beveiligingsdienst. Omdat zo’n link er veilig uitziet en afkomstig lijkt van een betrouwbare bron, glipt hij makkelijk langs spamfilters.
De inhoud van de mails speelt eveneens in op herkenbare situaties: “Nieuwe voicemail,” “Beveiligd document ter inzage” of “Nieuw Teams-bericht”: allemaal ontworpen om de nieuwsgierigheid van de ontvanger te wekken. Klik je op zo’n link, dan kom je terecht op een vervalste Microsoft 365-inlogpagina die nauwelijks te onderscheiden is van de echte. Daar worden je gegevens netjes ingevuld… en doorgestuurd naar de aanvaller.
Nieuwe generatie phishing: moeilijk te herkennen
De aanpak is niet geheel nieuw: eerder werden ook diensten als Google Drive en Dropbox al op soortgelijke manieren misbruikt. Maar de gerichte inzet van link wrapping maakt deze phishingvariant gevaarlijker dan veel voorgaande pogingen. Waar veel gebruikers eerder konden vertrouwen op duidelijke signalen van verdachte afzenders of foutieve URL’s, maken deze mails juist gebruik van gehackte, vertrouwde accounts én officieel ogende linkstructuren.
“Deze aanvallen maken slim gebruik van de perceptie van veiligheid,” stelt Cloudflare in zijn analyse. “De techniek achter link wrapping is effectief tegen bekende bedreigingen, maar biedt onvoldoende bescherming als het gevaar nog niet als zodanig is herkend door het systeem.”
Organisaties moeten alert zijn
Voor bedrijven is dit een serieuze wake-upcall. Vertrouwen op automatische detectie is simpelweg niet genoeg meer. Organisaties zullen een stap verder moeten gaan in hun beveiligingsaanpak (bijvoorbeeld via multi-factor-authenticatie, trainingen en e-mailfilters). Want uiteindelijk is geen enkel beveiligingssysteem volledig waterdicht. Hoe slimmer de technologie, hoe creatiever de aanvallers.
