Organisaties waarschuwen voor aanval met 'versleutelde' pdf-bestanden

[Captain Kirk]

Organisaties Citizen Lab en Access Now waarschuwen vandaag voor spearphishing-aanvallen waarbij 'versleutelde' en 'beveiligde' pdf-bestanden worden gebruikt om slachtoffers naar phishingsites te lokken die inloggegevens voor Proton- en Google-accounts proberen te stelen. Volgens de twee organisaties zijn de aanvallen uitgevoerd door twee groepen genaamd Coldriver en Coldwastrel. De eerste groep zou aan de Russische geheime dienst FSB zijn gelieerd.

De aanvallen zijn gericht tegen maatschappelijke organisaties en internationale NGO's. De aanvallers versturen e-mails die afkomstig lijken van personen die het doelwit kent, waarbij van e-mailadressen gebruik wordt gemaakt die op één karakter na hetzelfde zijn. De e-mails bevatten een pdf-bestand dat wanneer geopend claimt dat er moet worden ingelogd om de inhoud te bekijken. Het pdf-bestand bevat hiervoor een link die naar de phishingpagina wijst.

Volgens onderzoekers van Citizen Lab en Access Now is het belangrijk om alert te zijn op 'versleutelde' en 'beveiligde' pdf-bestanden. Daarnaast adviseren ze het 'correct gebruik' van tweefactorauthenticatie (2FA). Sommige van de slachtoffers hadden 2FA ingeschakeld, maar werden verleid om hun 2FA-codes in te voeren. Met name het gebruik van sms-gebaseerde 2FA wordt riskant genoemd. De onderzoekers adviseren het gebruik van security keys en passkeys als 2FA-methode.

 

bron: https://www.security.nl