Het Amerikaanse netwerkbeveiligingsbedrijf Barracuda meldt dat het in de eerste twee maanden van dit jaar alleen al ruim één miljoen phishing-as-a-service-aanvallen (PhaaS) zag.
Voorzichtigheid geboden bij organisaties over de hele wereld, want begin 2025 deden er zich opvallend veel PhaaS-aanvallen voor. Daarbij bieden cybercriminelen phishing-aanvallen aan als een dienst – vaak voor doeleinden op grotere schaal. Tycoon 2FA – een illegaal bedrijf dat cyberaanvallen aanbiedt – is ‘goed’ voor maar liefst 89 procent van de cyberaanvallen. Concurrenten EvilProxy en Sneaky 2FA hebben met respectievelijk acht en drie procent een meer bescheiden aandeel. Die laatste is overigens een nieuwe speler in de phishing-wereld.
Steeds moeilijker te detecteren
Midden februari merkten Barracuda-analisten een uitbraak op van aanvallen die gebruik maakten van Tycoon 2FA. Verder onderzoek toonde aan dat het beruchte platform zich blijft ontwikkelen en verbeteren, waardoor het nog moeilijker te detecteren valt. EvilProxy heeft als troef dat het minimale technische expertise vereist, waardoor geavanceerde phishing-aanvallen toegankelijk worden voor een breder scala aan cybercriminelen. Dat maakt het mogelijk om veelgebruikte diensten zoals Microsoft 365, Google en andere cloudplatformen aan te vallen, vaak via phishing e-mails en kwaadaardige links.
‘Adversary-in-the-middle’
De nieuwste speler, Sneaky 2FA, is een systeem dat zogeheten ‘adversary-in-the-middle’-aanvallen, die gericht zijn op Microsoft 365-accounts, uitvoert. Slachtoffers krijgen een e-mail met een link, die hen doorstuurt naar een vervalste Microsoft-inlogpagina, waar hun e-mailadres al ingevuld staat en dus verantwoord lijkt. Sneaky 2FA heeft zijn naam trouwens niet gestolen: het hackerscollectief is in staat om de tweefactorauthenticatie te omzeilen.
Hoe herken ik PhaaS-aanvallen?
Een inlogpagina met een ‘ru.’-domein en je e-mailadres in de url kan wijzen op een Tycoon2FA-aanval. Als je denkt dat de inlogpagina of url van je Microsoft- en Google-account er net iets anders uit ziet dan de gebruikelijke pagina, kan je te maken hebben met een EvilProxy-aanval. Een Sneaky 2FA aanval kan je herkennen aan de url. Als die een 150 alfanumerieke tekenreeks bevat, gevolgd door /verify, /index of /validate aan het einde, dan blijf je er maar beter van weg.
