Bij Phishingtest.nl krijgen we veel spam binnen. Net als u waarschijnlijk. Wij bekijken die mails echter met interesse, in plaats van ze meteen weg te gooien.

Veel van de spam-mails zijn phishingmails. Zie bijvoorbeeld het volgende voorbeeld dat vanmiddag binnenkwam:

Voorbeeld van een phishingmail | Antivirus-software: helpt het tegen phishing? | Phishingtest.nl

Dit is een veel voorkomende vorm van phishing. De criminelen sturen mails rond met een financiële thematiek, omdat ze hopen op slachtoffers die op een financiële afdeling werken, en die – nieuwsgierig – de bijlage met de zogenaamde betalingsherinnering zullen openen.

Wat zit er in die bijlage? We adviseren natuurlijk om NOOIT op een dergelijk bestand te klikken, maar in ons lab hebben we een omgeving waarin we dat veilig kunnen doen.

 

Proef op de som: een antivirus-scan van de bijlage

Laten we eens kijken wat de virusscanners ervan maken. De site Virustotal scant bestanden met alle anti-viruspakketten. Eens zien wat de score is van deze bijlage:

Virustotal | Antivirus-software: helpt het tegen phishing? | Phishingtest.nl

Slechts 6 van de 57 antivirusproducten beschermt u tegen deze bijlage. En dat is helaas geen uitzondering – dit is nog een goede score, vaak detecteert geen enkel pakket het bestand.

Het probleem is dat antivirus-bedrijven de strijd tegen phishing niet aankunnen: een lange lijst met virussen die moeten worden geblokkeerd helpt niet veel, want de aanvallers maken voor elke aanval een nieuw virus. Daarvan kunnen ze van tevoren testen dat het niet gedetecteerd zal worden door de antivirus-software van de slachtoffers. Detecteert een antivirusproduct de bijlage wel? Dan passen ze het een beetje aan, totdat het niet meer gedetecteerd wordt.

 

De inhoud van de bijlage

Volgens 90% van de antivirus-software is deze bijlage dus 100% akkoord en kan worden geopend. We nemen de proef op de som.

In het zip-bestand bevindt zich een enkel bestand, 11252278_5281516.js:

Inhoud zipfile (bijlage bij de phishingmail) | Antivirus-software: helpt het tegen phishing? | Phishingtest.nl

Vreemde betalingsherinnering. Dit bestand bevat een programma in Javascript, dat veelal automatisch door de browser van het slachtoffer zal worden uitgevoerd. Dit script doet erg zijn best om te verbergen wat het doet: er staan allemaal onzin-opdrachten in, maar ergens in het midden zit een erg moeilijk leesbaar stukje programmacode, dat het volgende stadium van de malware downloadt op de computer van het slachtoffer.

 

Conclusie

Klikken op de bijlage bij zo’n spam-/phishingmail resulteert waarschijnlijk in een infectie van de PC van degene die klikte. Met alle gevolgen van dien, als het inderdaad een medewerk(st)er van uw financiële afdeling is. Want de phishers kunnen na de infectie meekijken met de medewerker op zijn/haar PC, en op een slim moment transacties toevoegen in het online bankierprogramma.

Op deze manier verliest het bedrijfsleven jaarlijks miljoenen. Antivirus-producten doen – helaas – grote beloften over hun effectiviteit, maar beschermen in de praktijk vaak pas na een paar dagen tegen een nieuw virus, waardoor ze feitelijk weinig tot geen bescherming bieden tegen deze vorm van phishing.

Antivirus-software: helpt het tegen phishing?
Getagd op:    

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *