In een poging om informatie van hun slachtoffers te stelen, tonen hackers hun vindingrijkheid. Ze gaan zelfs zo ver dat ze bestanden in de verouderde RTF-indeling gebruiken. Wees dus voorzichtig als je er een ontvangt.
Ironscales is een bedrijf dat een e-mailplatform biedt dat A.I. gebruikt om phishingpogingen tegen te gaan. Op zijn blog heeft het een toename van aanvallen met RTF-bestanden onder de aandacht gebracht. In de maand maart 2024 werden meer dan 6.755 aanvallen geïdentificeerd. Toch wordt dit tekstbestandsformaat, een acroniem voor Rich Text Format, niet meer gebruikt.
De reden voor deze plotselinge opleving van het bovengenoemde formaat zijn de hackers die het gebruiken om te proberen de oplettendheid van gebruikers te dwarsbomen… En die van mailbox beveiligingsfilters. Omdat het formaat verouderd is, zijn de genoemde bestanden namelijk niet verdacht, in tegenstelling tot bestanden in .exe- of .zip-formaat.
Een gepersonaliseerde zwendel
Het potentiële slachtoffer ontvangt dus een e-mail met een bestand als bijlage. Dit is in .rtf-formaat en gebruikt meestal de domeinnaam van het e-mailadres van het slachtoffer. Omdat sommige bedrijven een privédomeinnaam gebruiken waarin hun naam voorkomt, wordt die aan het begin van de bestandsnaam geschreven. Dit geeft het legitimiteit, omdat aangenomen kan worden dat het gekoppeld is aan het werk van het slachtoffer. Met dit gepersonaliseerde formaat, bij een misverstand of haast, opent de persoon die het bericht ontvangt het en sluit de val.
Het bestand in kwestie bevat een link waarvan de naam voor een “@” die van een bekend bedrijf herhaalt, zoals Microsoft. Nogmaals, dit is ontworpen om de ontvanger te laten denken dat ze op een beveiligde link klikken die hen naar een gecertificeerde pagina brengt. Maar de link in kwestie leidt ze door naar een frauduleuze site met als doel gevoelige informatie te achterhalen of zelfs hun computer te infecteren met malware.
Dit is te wijten aan het feit dat de ontvanger op een beveiligde link klikt.
Dit komt door een truc die hackers veel gebruiken, namelijk het integreren van een “@” in de URL. In feite wordt al het tekstuele deel dat ervoor staat beschouwd als een gebruikersnaam en wordt daarom genegeerd door de browser. Dus of er nu google.com of microsoft.com staat, het maakt geen verschil, de echte site is degene die achter het symbool in kwestie staat.
Hoe bescherm je jezelf
Rust verzekerd, de zwendel is niet onvermijdelijk. Als je een e-mail ontvangt met een .rtf-bestand, is het zaak om achterdochtig te zijn. Controleer het adres van de afzender voordat je erop klikt. Dit zal mogelijke aanvallen uitfilteren. Als je het bestand toch opent, controleer dan de ingesloten link. Als deze een “@” heeft, kun je alles wat ervoor staat negeren. De doelsite is degene die achter het symbool staat. Je kunt dan zien dat deze niet legitiem is. Als je twijfels hebt, kun je altijd contact opnemen met iemand van je bedrijf om er zeker van te zijn dat het bestand dat je hebt ontvangen echt van een van de afdelingen komt.