Beveiligingsonderzoekers Proofpoint van hebben een phishing-campagne met een variantthema ontdekt die gericht is op Omicron Noord-Amerikaanse universiteiten. De phishing-e-mails zijn bedoeld om inloggegevens van universiteiten te stelen. Al is het doel daarvan op dit moment onbekend. De phishing-e-mails zijn gericht op studenten van de Vanderbilt University, de University of Central Missouri en andere Noord-Amerikaanse universiteiten.
Dit is zeker niet de eerste keer dat kwaadwillende actoren de angst van mensen voor de aanhoudende pandemie in hun eigen voordeel gebruiken. Er zijn in het verleden tal van campagnes geweest. Zodra de pandemie begon, begonnen kwaadaardige campagnes met het coronavirusthema. De campagnes veranderen meestal afhankelijk van de situatie. Toen de vaccins beschikbaar kwamen, nodigden kwaadaardige e-mailcampagnes mensen uit om zich te registreren voor hun injecties. En nu de nieuwe Omicron variant zich verspreidt, hebben kwaadwillende actoren hun campagnes aangepast om te vermelden Omicron .
Deze specifieke phishing-e-mailcampagne vraagt studenten om op een link te klikken of een bijlage te openen. Volgens Proofpoint zijn de onderwerpregels van deze e-mailcampagnes meestal een vorm van “Aandacht vereist – Informatie over COVID-19 Omicron Variant – 29 november”. Hoewel de meeste phishing-campagnes met COVID-19-thema worden verzonden vanaf e-mailadressen die alleen zijn gemaakt om op legitieme te lijken, heeft Proofpoint gezegd dat kwaadwillende actoren ook legitieme, gecompromitteerde universiteitsaccounts gebruiken.
“Hoewel veel berichten worden verzonden via vervalste afzenders, heeft Proofpoint waargenomen dat bedreigingsactoren legitieme, gecompromitteerde universiteitsaccounts gebruiken om bedreigingen met covid-19-thema te verzenden. Het is waarschijnlijk dat de bedreigingsactoren inloggegevens van universiteiten stelen en gecompromitteerde mailboxen gebruiken om dezelfde bedreigingen naar andere universiteiten te sturen,” zei Proofpoint.
Als gebruikers op de koppelingen klikken, worden ze naar sites gebracht die sterk lijken op legitieme aanmeldingspagina’s van universiteiten of algemene Office 365-pagina’s. De nep-universiteitssites kunnen er bijna identiek uitzien als de legitieme, wat aangeeft dat er op zijn minst enige moeite is gedaan in deze phishing-campagnes. Het kan voldoende zijn om minder oplettende gebruikers te misleiden. Degenen die echter op details letten of meer bekend zijn met phishing-pogingen, moeten merken dat de URL van de site waarnaar ze worden geleid, niet overeenkomt met de URL van hun universiteit. Het adres van een site is meestal de grootste weggever als het gaat om phishing-campagnes.
Om te voorkomen dat gebruikers zich realiseren wat er aan de hand is, worden gebruikers, zodra ze hun inloggegevens typen en op “Aanmelden” drukken, doorgestuurd naar de legitieme website van hun universiteit. Omdat het van tijd tot tijd meerdere keren moeten inloggen gebeurt, denken veel gebruikers misschien niet twee keer na over het opnieuw moeten typen van hun inloggegevens. Maar zodra de inloggegevens zijn getypt op de phishing-website, worden ze onmiddellijk overgedragen aan de cybercriminelen die deze phishing-campagne uitvoeren. Proofpoint merkte op dat deze campagne niet wordt toegeschreven aan een bekende cybercrime-groep. Ook het doel van deze campagne is op dit moment onbekend. Proofpoint gelooft ook dat deze campagnes de komende maanden in aantal zullen toenemen.
“Het is waarschijnlijk dat deze activiteit in de komende twee maanden zal toenemen, omdat hogescholen en universiteiten testen bieden en vereisen voor studenten, docenten en andere werknemers die van en naar de campus reizen tijdens en na het vakantieseizoen, en naarmate de Omicron variant breder opduikt,” heeft Proofpoint gewaarschuwd.