Cybercriminelen zetten reCaptcha in bij phishingsites

Cybercriminelen hebben een nieuwe manier gevonden om detectie van phishingsites te voorkomen. Ze activeren een reCaptcha-muur en blokkeren zo url-scanning.

De inzet van reCaptcha is een techniek die security-onderzoekers steeds vaker tegenkomen, schrijft Jonathan Tanner, Senior Security Research bij Barracuda Networks.

Wie een phishingmail ontvangt en op een link in de mail klikt, komt dus mogelijk eerst bij een reCaptcha-vraag uit, voordat hij de phishingsite zelf bezoekt.

Dat lijkt misschien gek omdat ze daarmee een extra barrière lijken op te werpen voor het bezoeken van de phishingsite. De reCaptcha zorgt er niet alleen voor dat bots van beveiligingstools worden tegengehouden van het scannen van de websites, maar ook verhoogt het de geloofwaardigheid van de phishingsite in kwestie in de ogen van potentiële slachtoffers.

In de afgelopen weken hebben Barracuda onderzoekers meerdere phishing campagnes geconstateerd die gebruikmaken van reCaptcha muren op links in phishing emails. Eén campagne had meer dan 128.000 e-mails die deze techniek gebruikte om valse Microsoft-loginpagina’s te verduisteren. De phishing e-mails die in deze campagne werden gebruikt, beweren dat de gebruiker een voicemailbericht heeft ontvangen.

Hoe kunnen organisaties zich wapenen tegen dit soort aanvallen? Volgens Tanner is de belangrijkste stap in de bescherming tegen kwaadaardige reCaptcha-muren het voorlichten van gebruikers over de bedreiging, zodat ze weten dat ze voorzichtig moeten zijn. “Ze moeten weten dat dat een reCaptcha niet per definitie een teken is dat een pagina te vertrouwen is. Gebruikers moeten kritisch zijn bij het zien van reCaptcha-muren, vooral op onverwachte plaatsen waar in het verleden geen legitieme muren zijn aangetroffen”, aldus Tanner.