Een sluwe valstrik

De aanval begon met een ogenschijnlijk onschuldige sms die afkomstig leek te zijn van UPS. Het bericht meldde dat er een pakket klaarlag voor de ontvanger, met een bijbehorende link om de bezorgkosten te betalen. Deze link was echter een valstrik: klikte men erop, dan kwam men op een goed nagemaakte website van UPS waar persoonlijke en financiële gegevens werden afgetroggeld.

 

De statistieken onthuld

Cybercriminelen houden graag een vinger aan de pols wat betreft het aantal "bezoekers" op hun phishingsite. Deze informatie helpt hen hun aanvallen te verfijnen. In dit geval werden de statistieken van de UPS-phishingsite niet afgeschermd en waren ze zonder in te loggen te bekijken.

 

Zo ziet zo'n pagina eruit.

 

Dankzij de openbare statistieken van de phishingsite kon Checkjelinkje een onthullende blik werpen op de omvang van de aanval. In een periode van amper twee dagen, trok de site meer dan 6.000 “bezoekers”, mensen die daadwerkelijk op de link hebben geklikt. Dit schokkende aantal toont aan hoe snel en effectief phishingcriminelen te werk gaan.

Checkjelinkje analyseerde de niet-privacygevoelige data op de pagina met statistieken en zag de volgende patronen:

  • De aanval startte al op 2 januari met een soort testfase, waarna twee pieken volgden: in de nacht van 19 maart (met 600 bezoekers per uur) en op 21 maart.
  • Opvallend is dat de aanval zich uitsluitend richtte op mobiele gebruikers: desktopbezoekers kregen geen toegang tot de site.
  • 67% van de “bezoekers” gebruikte een iPhone32% een Android-toestel.
  • De aanval was gericht op Nederlandse gebruikers95% van de IP-adressen waren Nederlands*.
  • Het domeinnaam voor de laatste campagne werd pas op 17 maart geregistreerd, twee dagen voor de start van de campagne.

 

Grafiek met statistieken
Het aantal bezoekers verdeeld over twee dagen.

 

Verdeling per apparaat
De verdeling van bezoekers per apparaat.

 

Zo voorkom je dat je slachtoffer wordt

  • Wees kritisch: Klik nooit zomaar op links in e-mails of sms'jes, zelfs als ze afkomstig lijken te zijn van een betrouwbare bron.
  • Controleer de URL: Beweeg je cursor over de link om de echte URL te zien. Als die afwijkt van de website die je verwacht, klik dan niet.
  • Gebruik Checkjelinkje: Voer de URL in op checkjelinkje.nl om te zien waar je terecht komt en om te controleren of de site bekend staat als phishingsite.
  • Vertrouw je instinct: Als iets te mooi lijkt om waar te zijn, is het dat waarschijnlijk ook.

 

* Checkjelinkje analyseerde geen individuele IP-adressen, maar de netwerken waar ze deel van uitmaken. Op die manier kon een onderscheid tussen Nederlandse en buitenlandse gebruikers worden gemaakt.