Wees behoed voor scams die azen op corona-angst

Op dit moment ervaren we een unieke globale gebeurtenis. De uitbraak van het Coronavirus (COVID-19) – nu officieel een pandemie – heeft wereldwijd geleid tot maatregelen en gevolgen zoals landen die op slot gaan, reisverboden, hamsteren in de supermarkten en onrust op de financiële markt.

Scammers is dit ook opgevallen. Voor cybercriminelen bieden noodgevallen de ultieme gelegenheid om frauduleuze campagnes te lanceren waarmee ze inhakend op de huidige crisis geld kunnen aftroggelen. Deze criminelen hebben dan ook geen moment verspild om op angsten in te spelen en er een slaatje uit te slaan.

Deze scams kunnen verschillende verschijningen hebben. Het onderzoeksteam van ESET deelt enkele voorbeelden van de verschrikkelijke tactieken die we recent hebben gezien.

Nieuws van kwaadaardige aard

Als grote bron van informatie betreffende de uitbraak is de World Health Organization (WHO) één van de meest geïmiteerde instanties tijdens deze scamcampagnes. In het voorbeeld hieronder doen criminelen alsof ze belangrijke informatie over het virus te delen hebben in een poging om mogelijke slachtoffers op een kwaadaardige link te laten klikken. Dergelijke links kunnen doorgaans malware installeren, persoonlijke gegevens stelen of pogen inloggegevens vast te leggen.

Coronascam1

Figuur 1: Een e-mail die doet alsof het door de World Health Organization is gestuurd

De WHO is zich ervan bewust dat zijn identiteit wordt gebruikt door scammers en biedt op zijn website daarom advies over hoe de organisatie communiceert en welke details wel of niet genoemd worden in officiële e-mails. Eén van de belangrijkste genoemde punten is als volgt:

Verzeker jezelf ervan dat de afzender een e-mailadres heeft als ‘persoon@who.int’. Als er iets anders is dan ‘who.int’ na het ‘@’-symbool, dan is deze afzender niet van de WHO. De WHO verstuurt geen e-mails vanaf adressen die bijvoorbeeld eindigen op ‘@who.com’, ‘@who.org’ of ‘@who-safety.org’.

De organisatie adviseert ook om de URL te controleren van eventuele links die je in e-mails ontvangt. Daarnaast wijst de organisatie erop dat alle webpagina’s van de WHO beginnen met https://www.who.int/ en dat er geen ander domein wordt gebruikt. Als je twijfelt over de gestuurde link, typ het linkadres dan direct in je browser.

Belangrijk om te benoemen is dat de WHO niet willekeurig mensen e-mailt die niet geabonneerd zijn op een dienst (zoals een nieuwsbrief). Als je hier niet op geabonneerd bent, is de kans dus nihil dat je opeens door de WHO wordt gemaild. Om nieuws te ontvangen, overweeg dan om te navigeren naar de speciale WHO-site over het virus of naar de website van het RIVM om nieuws uit betrouwbare bronnen te ontvangen. Het echte nieuws is ook te vinden via de vertrouwde nieuwsbronnen die je normaal gesproken dagelijks bezoekt. Links in ongevraagde e-mails zullen geen unieke of nieuwe nieuwsberichten bieden.

In een ander voorbeeld probeert de onderstaande phishing-website zich voor te doen als de Wall Street Journal (WSJ) en meldt het zogenaamd het laatste COVID-19-nieuws. We hebben een aantal van de URL’s bewerkt om voor de hand liggende redenen, maar merk op dat het begint met ‘worldstreet’ en dat op de webpagina de schrijfwijze ‘world street’ wordt gebruikt. Toch is er enige visuele consistentie met WSJ huisstijl in een duidelijke poging om de bezoeker op subtiele wijze te laten denken dat dit de website van de Wall Street Journal is. De reclame op de site genereert inkomsten voor de kwaadwillenden, zelfs als er geen persoonlijke gegevens van de bezoeker worden verzameld.

Coronascam2

Figuur 2: Verreweg van het origineel

Het exploiteren van de liefdadigheidsgeest

Een andere veel voorkomende vorm van oplichterij die de rondes doet is een beroep op liefdadigheidsgeest die probeert de ontvanger zogenaamd te laten helpen bij de financiering van het vaccin tegen corona voor kinderen in China. Op het moment van schrijven is er geen vaccin beschikbaar en verwacht wordt dat dit op zijn vroegst pas volgend jaar klaar is voor publiek gebruik.

Coronascam3

Figuur 3: Het neppe goede doel

De interessante achtergrond hiervan is bijvoorbeeld dat de kwaadwillende een bestaande campagne-infrastructuur en -proces met COVID-19-inhoud heeft hergebruikt. In 2019 werd een artikel gepubliceerd over een sextortion scam-campagne die slachtoffers probeerde af te schrikken in een poging om geld van hen af te persen.

Mensen die de coronavirus-thema-mails ontvangen, worden gevraagd bitcoins naar de ewallets van de aanvallers te sturen. Ondanks dat deze techniek slechts voor een fractie van de gebruikers effectief is, kan het op wereldschaal financieel aantrekkelijk zijn voor de criminelen.

Ontmaskerd

Bij een andere gebruikte fraudetechniek sturen oplichters spammails naar hun slachtoffers. In deze mails wordt geclaimd dat de ontvanger mondkapjes kan bestellen die hem of haar veilig zou kunnen houden van het nieuwe coronavirus. Wat er in plaats daarvan gebeurt, is dat de slachtoffers hun gevoelige persoonlijke en financiële informatie onbewust aan de oplichters onthullen.

Coronascam4

Coronascam5

Figuur 4: Nepaanbiedingen voor gezichtsmaskers

Zoals je zou verwachten, toont Google Trends aan dat de zoekvolumes voor termen als  ‘hand sanitizer’ en ‘face masks’ nu een ongekend niveau bereiken. Nu de vraag naar deze producten het aanbod overtreft, richten oplichters zich steeds meer op mensen die op zoek zijn naar beschermende maatregelen. Volgens Sky News hebben frauduleuze verkopers van mondkapjes en veiligheidsmaskers in februari alleen al voor 800.000 pond (bijna €875.000) mensen in het Verenigd Koninkrijk opgelicht.

Mondkapjes zijn momenteel beperkt in voorraad, dus wees je bewust van waar je ze bestelt en doe dit alleen bij een vertrouwde verkoper die je in normale omstandigheden ook zou vertrouwen met je bestelling (en creditcardgegevens!). Heroverweeg ook je daadwerkelijk zo’n mondkapje nodig hebt of die beter kan laten liggen voor mensen die ze nodig hebben om hun beroep veilig uit te oefenen.

Ter conclusie

Dit zijn slechts enkele voorbeelden van hoe cybercriminelen proberen te profiteren van het huidige klimaat rond de virusuitbraak. Dit is het moment voor individuen én organisaties om te leren over, of om herinnerd te worden aan, enkele van de meest voorkomende manieren waarop cybercriminelen de emoties van mensen tijdens grote gebeurtenissen en noodsituaties (en daar buitenom) exploiteren.

Het is essentieel om waakzaam te blijven voor de acties van cybercriminelen die leiden tot oplichting of nepnieuws en deze tijdig te identificeren en negeren. Hier volgen enkele basisadviezen om veilig te blijven:  

  • Vermijd het aanklikken van links of het downloaden van bijlagen in ongevraagde e-mails of in teksten van onbekende bronnen, of zelfs van vertrouwde bronnen, tenzij je er absoluut zeker van bent dat het bericht authentiek is.
  • Negeer berichten die om je persoonlijke gegevens vragen. Verifieer indien nodig de inhoud van het bericht met de schijnbare afzender of de organisatie die zij (schijnbaar) vertegenwoordigen. Doe dit via een ander medium dan waarop je het bericht ontvangen hebt (bijvoorbeeld telefonisch of via social media wanneer het bericht per e-mail ontvangen is).
  • Wees vooral op je hoede voor e-mails die het gevoel van nood intensiveren, er op aandringen om onmiddellijk actie te ondernemen of COVID-19-vaccins of andere geneeswijzen aanbieden.
  • Kijk uit voor frauduleuze liefdadigheidsinstellingen of crowdfunding-campagnes.
  • Gebruik gerenommeerde meerlaagse beveiligingssoftware die bescherming biedt tegen phishing.