Ransomware als service? 🤯 Ontdek phishing-as-a-service

Leestijd: 2 minuten

SaaS, PaaS, IaaS… Anything-as-a-service is een model waar je wellicht zelf al eens gebruik van gemaakt hebt. Dat het wel heel ver kan gaan, bewijst BulletProofLink. Deze phishing-as-a-service-groep werd onlangs ontdekt en door Microsoft vermeld in een recente securityblogpost. Deze groep verkoopt phishingkits en -mailtemplates en biedt hosting en automatische services om gegevens te stelen aan voor een lage kostprijs.

Wat is phishing-as-a-service?

Ransomware-as-a-service en phishing-as-a-service zijn vergelijkbaar in de zin dat ze beide het software-as-a-service (SaaS) model volgen. Dit houdt in dat cybercriminelen een groep als BulletProofLink kunnen inhuren om phishingcampagnes te ontwikkelen, hosten en onderhouden. Met die phishingmails worden onschuldige ontvangers in de val gelokt om op een link te klikken die naar een vervalste website leidt. Wanneer ze daar hun gegevens achterlaten, worden die buitgemaakt door de cybercriminelen.

Hun phishingkits houden een eenmalige aankoop in van een bestand (gewoonlijk een zip-bestand) met kant-en-klare phishingmail-templates, een eigen website en domeinnaam. Phishing-as-a-service gaat verder: de klant betaalt in dit geval BulletProofLink om een phishingcampagne van A tot Z op te zetten. Daarbij hoort dan de ontwikkeling van een inlogpagina, website hosting, diefstal en verspreiding van de buitgemaakte gegevens…

De tekst gaat verder onder de afbeelding.

phishing kit vs phishing as a service Microsoft
Vergelijking tussen phishing kits en phishing-as-a-service. (Bron: Microsoft)

BulletProofLink-services

Wie is BulletProofLink, de phishing-as-a-service-groep die Microsoft onlangs vermeldde in hun blogpost? De groep beweert actief te zijn sinds 2018 en schept op over de unieke diensten die ze aanbieden op hun About us-pagina. Verder deinzen ze er ook niet voor terug om video’s te maken met advertenties/promomateriaal en deze te verspreiden op onder andere YouTube, Vimeo en heel wat andere forums en sites.

De groep beschikt verder ook over een online store die klanten toelaat om te registreren, in te loggen, zaken aan te kopen of zich te abonneren op de diensten van BulletProofLink. Klanten krijgen zelfs een eenmalige korting van 10% wanneer ze zich abonneren op de nieuwsbrief. En natuurlijk hebben ze ook een customer support waar nieuwe en bestaande klanten terecht kunnen met vragen en problemen.

De tekst gaat verder onder de afbeelding.

BulletProofLink welkomstkorting
De welkomsaanbieding van BulletProofLink. (Bron: Microsoft)

De store van BulletProofLink biedt meer dan 100 phishingmail-templates aan en heeft een heel flexibel abonnementsmodel. Het laat ‘klanten’ toe om de templates gemakkelijk zelf te gebruiken en e-mails te sturen naar hun slachtoffers. Het is echter ook mogelijk om via een abonnement van 800 dollar gebruik te maken van de hostingservices van BulletProofLink. De klanten krijgen dan gewoon de buitgemaakte credentials (inloggegevens) van de slachtoffers toegestuurd, zonder dat ze hier zelf een infrastructuur voor moeten voorzien.

Verder is het alarmerend dat er ook code in de templates zit die alle buitgemaakte logins ook doorstuurt naar BulletProofLink zelf. Dit zorgt er dus voor dat BulletProofLink de gestolen credentials ook nog kan verkopen.

Door het grote aanbod van BulletProofLink ziet niet elke campagne er hetzelfde uit. Ze kunnen echter wel herkend worden door een combinatie van de broncode, password processing site en hosting bij de door BulletProofLink gehoste campagnes.

De tekst gaat verder onder de afbeelding.

BulletProofLink diensten
De diensten van BulletProofLink in hun webshop, met onder andere heel wat phishingdiensten die zich voordoen als andere, betrouwbare websites. (Bron: Microsoft)

Hoe kan ik mijn bedrijf beschermen?

De eerste stap naar een goede bescherming tegen phishing-as-a-service is een goede anti-spam- of anti-phishingoplossing. Dit zal ervoor zorgen dat de meeste van deze phishingmails al gestopt worden vóór ze je werknemers bereiken. Goede oplossingen zorgen er ook voor dat, wanneer er nieuwe gevaren worden ontdekt, deze worden toegevoegd aan de lijst met te detecteren bedreigingen.

Een goede anti-spamoplossing doet veel, maar helaas niet alles. Er zullen immers altijd wat e-mails door de scanners raken. Daarom is het belangrijk dat je werknemers zich bewust zijn van de gevaren en getraind zijn om deze te herkennen. Het uitvoeren van een interne phishingcampagne of security awareness training zorgt voor deze bewustwording en training.

Tenslotte is het zeker aangeraden om gebruik te maken van MFA of Multi Factor Authentication en een goede antivirusoplossing, voor het geval waarin de gebruiker tóch klikt en zijn/haar gegevens doorgeeft. Daardoor wordt het moeilijker voor de cybercriminelen om de buitgemaakte gegevens ook effectief te gebruiken en binnen te dringen in jouw bedrijf.

Bronnen: Microsoft, The Hacker News

Kerim Popelier

Wie is Kerim?

Kerim Popelier is een van ConXioN’s Cyber Security Engineers. Je vindt hem hard aan het werk om jouw veiligheid te garanderen, op zoek naar de nieuwste securitytrends, in onze securitysessies waar hij met plezier zijn ruime expertise deelt, of gewoon binnen jouw eigen bedrijfsmuren waar hij jouw werknemers opleidt tijdens een security awareness training.