Dubbelloops phishing

Wat is Dubbelloops phishing?

Double barrel phishing is een tweefasen aanval waarbij het eerste bericht volledig onschadelijk is en het tweede bericht de schadelijke payload bevat. De eerste e-mail vestigt legitimiteit en bouwt vertrouwen op. Het kan een eenvoudige introductie zijn, een vergaderbevestiging of het routinematig delen van een document. Niets eraan wekt argwaan. De vervolg-e-mail arriveert uren of dagen later, verwijst naar het eerste bericht en bevat een link of bijlage die de daadwerkelijke aanval uitvoert. Omdat u al interactie had met de afzender, is uw waakzaamheid verminderd. Deze techniek is effectief omdat het een cognitieve blinde vlek misbruikt. Zodra u een positieve of neutrale interactie heeft gehad met iemand, categoriseert uw brein diegene als veilig. Beveiligingsfilters missen deze aanvallen ook vaak, omdat het eerste bericht werkelijk schoon is en het tweede bericht uit dezelfde vertrouwde afzenderdraad komt. In deze simulatie ontvangt u een vriendelijke introductie-e-mail van iemand die beweert een nieuw contact te zijn bij een partnerbedrijf. De e-mail bevat geen links, geen bijlagen en niets verdachts. Als u antwoordt of het bericht zelfs maar leest, arriveert een vervolgbericht dat verwijst naar uw interactie en een document bevat dat uw inloggegevens vereist om toegang te krijgen. U leert elk bericht onafhankelijk te beoordelen ongeacht eerdere context, nieuwe contacten te verifiëren via officiële bedrijfsgidsen voordat u met ze in gesprek gaat en de subtiele gedragssignalen te herkennen die een tweefasen opzet onderscheiden van normale zakelijke correspondentie.

Wat je leert in Dubbelloops phishing

• Herken het tweefasen patroon van double barrel phishing waarbij een onschadelijk eerste bericht voorafgaat aan een schadelijke vervolg-e-mail
• Beoordeel elke e-mail onafhankelijk, ongeacht eerdere interacties met hetzelfde afzenderadres of dezelfde draad
• Verifieer nieuwe externe contacten via officiële bedrijfsgidsen en bekende communicatiekanalen voordat u informatie deelt
• Identificeer cognitieve vertrouwensbias en begrijp waarom een eerdere veilige interactie niet garandeert dat toekomstige berichten legitiem zijn
• Leg uit hoe aanvallers gecompromitteerde legitieme e-mailaccounts en schone eerste berichten gebruiken om e-mailbeveiligingsfilters te omzeilen

Dubbelloops phishing — Trainingsstappen

1. Introductie

   Nexlify Solutions is gespecialiseerd in het verbinden van getalenteerde professionals met opdrachtgevers. U beheert een uitgebreide database met gevoelige kandidaat-informatie, waaronder cv's, contactgegevens, salarisverwachtingen en persoonlijke gegevens.

2. De onverwachte oproep

   Alice bekijkt de sollicitaties aan haar bureau als haar telefoon gaat. De beller klinkt professioneel en welbespraakt en stelt zichzelf voor als 'David Miller', een senior software-ingenieur die geïnteresseerd is in de mogelijkheden bij Nexlify Solutions.

3. De aanval begint

   Tijdens het telefoongesprek presenteert Bob (als David) zichzelf als een welbespraakte en deskundige professional. Het gesprek verloopt op natuurlijke wijze terwijl ze zijn achtergrond, de rolvereisten en de bedrijfscultuur bespreken. Ongeveer halverwege het gesprek stuurt Bob het gesprek in een ogenschijnlijk onschuldige richting.

4. Intelligentie verzamelen

   Er wordt aan Alice een schijnbaar onschuldige vraag gesteld.

5. De e-mailuitwisseling

   Na het positieve telefoongesprek stuurt Alice Bob, vermomd als 'David', gedetailleerde informatie over verschillende openstaande vacatures die aansluiten bij zijn achtergrond. Alice wil de gegevens van David invoeren in de TalentHub Pro database omdat hij een zeer geschikte kandidaat lijkt en zij een aanwervingsbonus kan krijgen. Ze wacht dus met spanning op zijn antwoordmail met zijn cv.

6. De voorbereiding

   Ondertussen bereidt Bob een neppe TalentHub Pro-inlogpagina voor. Hij heeft de urgentie voor Alice al gecreëerd om TalentHub Pro te gebruiken en is nu klaar om deze te exploiteren.

7. De phishing-e-mail arriveert

   Alice ontvangt een e-mail die afkomstig lijkt te zijn van de IT-afdeling van het bedrijf. Het afzenderadres is it-support@nexlify-solutions-secure.com en bevat het bekende bedrijfslogo en de professionele opmaak die Alice herkent uit legitieme IT-communicatie.

8. De e-mail lezen

   Alice klikt op de migratielink, waardoor de inlogpagina van TalentHub Pro wordt geopend. De website ziet er identiek uit aan het systeem dat ze dagelijks gebruikt: dezelfde kleuren, logo, lay-out en vertrouwde interface-elementen. De URL geeft 'http://talenthub-pro-migration.nexlify-solutions-secure.com/login' weer, maar Alice is te gehaast om de ontbrekende HTTPS-codering op te merken.

9. Voer inloggegevens in

   Alice voelt de druk van de deadline van 17.00 uur en een dringende noodzaak om TalentHub-toegang te behouden voor het toevoegen van Davids gegevens, en voert haar gebruikersnaam en wachtwoord in. De nepwebsite registreert onmiddellijk haar inloggegevens en geeft een overtuigende boodschap weer.

10. Het succesvolle datalek

    Na een paar seconden wordt de pagina omgeleid naar de echte Nexlify Solutions-inlogpagina, waardoor de illusie ontstaat dat de migratie succesvol was.