Sinds de Russische invasie van Oekraïne op 24 februari zijn meer dan twee keer zo veel Oekraïne-gerelateerde domeinnamen voor het eerst waargenomen dan in de voorgaande week. Veel van deze websites zijn daadwerkelijk opgezet om Oekraïners te ondersteunen, maar er zitten ook cybercriminelen tussen die hulpacties nabootsen om cryptovaluta buit te maken, zo blijkt uit analyse door de Threat Intelligence Group van Infoblox.
De groep heeft een uitgebreide lijst van indicatoren van cybercrime geïdentificeerd die erop kunnen wijzen dat er sprake is van fraude. Daarnaast hebben onderzoekers handmatig tientallen van de nieuwe domeinnamen geanalyseerd.
Het kan op het eerste gezicht lastig zijn om malafide websites van echte sites te onderscheiden; de URL’s, vormgeving en gebruikte teksten lijken allemaal op die van legitieme initiatieven. Geautomatiseerde scans zijn tot op zekere hoogte behulpzaam, maar kunnen ook averechts werken, weet Infoblox: zo kunnen legitieme websites automatisch worden gemarkeerd als kwaadaardig als ze bijvoorbeeld linken naar gedeelde documenten. ‘Juist daarom is handmatig onderzoek nodig om kenmerken van fraude te vinden. Daarvoor moet je verder kijken dan de homepage.’ Denk daarbij aan:
- De mogelijkheid om met cryptomunten te doneren aan adressen die geen transactiegeschiedenis blijken te hebben.
- Claims van domeinnamen die niet publiek inzichtelijk zijn.
- Fouten en slordigheden in de gebruiksvoorwaarden – zo verwees één van de gebruiksvoorwaarden op een frauduleuze website naar een eerdere fraudecampagne rond Covid-19.
- Meerdere recent opgezette websites die vanaf hetzelfde IP-adres worden gehost.
Naast frauduleuze websites ziet Infoblox ook e-mailcampagnes waarbij gebruikers worden verleid om een bijlage te openen met de Agent Tesla keylogger trojan. ‘Het advies vanuit Infoblox is dan ook: wees voorzichtig.’