online veiligheid cybercriminaliteit cyberaanvallen beveiliging phishing Starkiller MFA-diefstal phishing-as-a-service

Cybercriminelen misbruiken echte websites voor sluwe phishingaanvallen

De meeste phishingwebsites zijn statische kopieën van inlogpagina’s van populaire diensten zoals Microsoft of Google. Deze sites worden vaak snel offline gehaald door beveiligingsbedrijven. Maar een nieuwe phishing-as-a-service-aanbieding, genaamd Starkiller, omzeilt deze beperkingen volledig.

In plaats van een nepversie te gebruiken, laadt Starkiller de echte inlogpagina van het doelwit in de browser van het slachtoffer. Het systeem fungeert vervolgens als een tussenpersoon: het leest elke toetsaanslag, wachtwoord en MFA-code die het slachtoffer invoert, en stuurt deze door naar de echte website. De antwoorden van de website worden weer teruggestuurd naar het slachtoffer, waardoor de aanval bijna onzichtbaar blijft.

Hoe Starkiller werkt: een stap-voor-stap uitleg

Volgens een analyse van het beveiligingsbedrijf Abnormal AI werkt de dienst als volgt:

  • Selectie van doelwit: Klanten van Starkiller kunnen een merk kiezen om te imiteren, zoals Apple, Facebook, Google of Microsoft.
  • Generatie van valse URL: Het systeem maakt een URL die visueel lijkt op de echte domeinnaam, maar via de infrastructuur van de aanvallers loopt. Bijvoorbeeld: login.microsoft.com@[kortgesneden/malicieuze URL]. Het deel voor de @ wordt genegeerd door de browser, waardoor het slachtoffer denkt op de echte site te zijn.
  • Live proxy: Een Docker-container met een headless Chrome-browser laadt de echte inlogpagina. Dit werkt als een man-in-the-middle proxy, die alle invoer van het slachtoffer doorstuurt naar de echte website en de reacties terugkoppelt.
  • Gegevensdiefstal: Elke toetsaanslag, formulierinvoer en sessietoken wordt geregistreerd. Dit omvat ook MFA-codes, waardoor cybercriminelen direct toegang krijgen tot het account van het slachtoffer.

Geavanceerde functies voor cybercriminelen

Starkiller biedt niet alleen gegevensdiefstal, maar ook een volledig dashboard met statistieken, vergelijkbaar met legitieme SaaS-platforms. De belangrijkste functies zijn:

  • Real-time schermstreaming: Aanvallers kunnen live meekijken terwijl het slachtoffer interactie heeft met de phishingpagina.
  • Keylogger-functionaliteit: Elke toetsaanslag wordt geregistreerd en opgeslagen.
  • Sessietoken- en cookie-diefstal: Hiermee kunnen aanvallers direct accounts overnemen zonder dat het slachtoffer het merkt.
  • Geo-tracking: De locatie van het slachtoffer wordt bijgehouden voor gerichte aanvallen.
  • Automatische meldingen: Via Telegram ontvangen aanvallers een bericht zodra nieuwe inloggegevens binnenkomen.
  • Campagnestatistieken: Bezoekersaantallen, conversiepercentages en prestatiegrafieken worden bijgehouden.

Waarom deze aanpak zo gevaarlijk is

Traditionele phishingdetectie werkt niet bij deze methode, omdat het slachtoffer daadwerkelijk verbinding maakt met de echte website. De URL ziet er legitiem uit, en zelfs de SSL-certificaten zijn geldig omdat de echte website wordt geladen. Dit maakt het vrijwel onmogelijk voor gebruikers of beveiligingssystemen om de aanval te detecteren.

Volgens Abnormal AI is Starkiller een gamechanger in de wereld van cybercriminaliteit. De dienst vereenvoudigt het proces van het stelen van inloggegevens en MFA-codes aanzienlijk, waardoor zelfs minder technische criminelen hoogwaardige phishingaanvallen kunnen uitvoeren.

"Starkiller transformeert phishing van een statische nepwebsite naar een dynamische, real-time aanval die bijna ondetecteerbaar is. Het is alsof je een valse bankmedewerker inzet die de echte bank vertegenwoordigt."

— Onderzoekers Callie Baron en Piotr Wojtyla, Abnormal AI

Hoe kun je jezelf beschermen tegen Starkiller en soortgelijke aanvallen?

Beveiligingsexperts adviseren het volgende om het risico op slachtoffer te worden te verkleinen:

  • Gebruik een wachtwoordmanager: Deze vult inloggegevens alleen in op de echte website, waardoor phishingpagina’s omzeild worden.
  • Controleer de URL altijd: Let op verdachte domeinen, zoals login.microsoft.com@.... Een echte URL bevat nooit een @ na de domeinnaam.
  • Schakel MFA in via een authenticator-app: Vermijd SMS-gebaseerde MFA, omdat deze gemakkelijker te onderscheppen is.
  • Gebruik een beveiligingsoplossing met phishingdetectie: Moderne antivirus- en EDR-oplossingen (Endpoint Detection and Response) kunnen verdachte activiteiten herkennen.
  • Wees alert op onverwachte meldingen: Als je plotseling wordt gevraagd om een MFA-code in te voeren terwijl je niets hebt aangevraagd, kan dit een teken zijn van een lopende aanval.

Conclusie: een nieuwe uitdaging voor cyberbeveiliging

Starkiller laat zien hoe cybercriminelen steeds geavanceerdere methoden gebruiken om beveiligingssystemen te omzeilen. Voor organisaties en individuen is het essentieel om op de hoogte te blijven van deze ontwikkelingen en proactief maatregelen te nemen om zich te beschermen.

Deze aanval benadrukt het belang van zero-trust beveiliging, waarbij geen enkele inlogpoging als vertrouwd wordt beschouwd, zelfs niet als deze via een ogenschijnlijk legitieme website verloopt.

Bron: Krebs on Security
Wie is ‘Dort’, de meesterbrein achter het reusachtige Kimwolf-botnet?
Volgende →

Wie is ‘Dort’, de meesterbrein achter het reusachtige Kimwolf-botnet?