Phishingactiviteiten die verband houden met de jaarlijkse verkoopperiode zijn sterk toegenomen, volgens nieuwe bevindingen van KnowBe4 Threat Labs . Het bedrijf onderzocht 27.061 phishing-e-mails die aan Black Friday gekoppeld zijn en rapporteerde duidelijke signalen dat dreigingsactoren hun campagnes eerder dan verwacht hadden voorbereid. De eerste significante stijging verscheen op 1 november, toen Black Friday-gerelateerde e-mails ongeveer 8% van alle voor het onderzoek verzamelde berichten bereikten. Hoewel het niveau na de eerste sprong daalde, bleef het gedurende de eerste helft van november hoger dan normaal, gemiddeld tussen de 4% en 5%. De trend suggereert een tempogerichte aanpak in plaats van een enkele uitbarsting van activiteit. Het patroon laat ook zien dat aanvallers zich richten op gebruikers die al vroeg op zoek gaan naar kortingen voordat officiële promoties beginnen.
Onderzoekers van KnowBe4 merkten op dat de inhoud van de phishing-e-mails voorspelbare thema’s volgde. Veel berichten waren gebaseerd op beloften van grote kortingen of tijdgevoelige aanbiedingen die bedoeld waren om shoppers naar neppagina’s te duwen. De onderzoekers stelden dat dreigingsactoren proberen consumenten te bereiken voordat legitieme retailers grote verkopen beginnen te adverteren. Vroege activiteiten geven criminelen meer tijd om sjablonen te verfijnen, domeinen te roteren, berichtformaten te testen en zich aan te passen aan filtersystemen. Het doel is ervoor te zorgen dat de frauduleuze sites actief blijven tijdens het hoogtepunt van online winkelen, wanneer slachtoffers minder geneigd zijn links te controleren.
Vroege activiteit en regionale patronen
De analyse toonde aan dat 84% van de Black Friday-gerelateerde e-mails zich voordeed als een bekende deal tracking-site in plaats van een specifieke retailer. Van campagnes die individuele bedrijven spoofden, verscheen Amazon in 52% van de gevallen en Costco in 13%. De selectie van doelmerk verschilde per land. In Frankrijk en de Benelux-markt begon de phishingactiviteit rond 1 tot 3 november. In de Verenigde Staten, Duitsland en Nederland begonnen de campagnes tussen 5 en 12 november. In het Verenigd Koninkrijk en Zuid-Afrika beweerden de e-mails vaak afkomstig te zijn van Amazon. In Frankrijk en de Benelux-regio was Lidl een veelvoorkomend doelwit voor imitatie. In Duitsland deed het merendeel van de retailgerelateerde phishingactiviteiten zich voor als IKEA. Deze variaties weerspiegelen het koopgedrag en de merkbekendheid van consumenten in elke regio, die aanvallers nauwlettend lijken te bestuderen bij het opstellen van hun boodschappen.
Onderzoekers merkten op dat criminelen steeds vaker investeren in de kwaliteit van nep-winkelsites die gekoppeld zijn aan phishing-e-mails. De sites spiegelen nu vaak de lay-out en branding van grote retailers nauwkeuriger dan in voorgaande jaren. Veel bevatten dynamische functies zoals afteltimers of klantenservice-widgets die legitieme functies nabootsen. KnowBe4 stelde dat recente generatieve tools criminelen in staat stellen schone en visueel overtuigende interfaces te creëren die de achterdocht bij gehaaste kopers verminderen.
Nep-winkeltechnieken en voortdurende risico’s
Criminelen richten zich niet langer alleen op snelle diefstal van kleine betalingen. In plaats daarvan proberen veel campagnes accounttoegang of betalingsgegevens te verkrijgen die langere termijn winst kunnen opleveren. Sommige sites vragen om inloggegevens die gekoppeld zijn aan winkelaccounts, terwijl andere slachtoffers vragen volledige betaalkaartgegevens in te voeren voordat er een foutmelding wordt getoond dat de aankoop niet is doorgegaan.
Onderzoekers benadrukten ook de rol van betaalde advertenties bij het doorverwijzen van gebruikers naar deze sites. Frauduleuze advertenties op platforms zoals Instagram en Facebook lijken op echte promoties en zijn vaak gericht op doelgroepen die eerder naar soortgelijke producten hebben gezocht. Deze methode vergroot de kans dat slachtoffers doorklikken zonder de bron te bevragen. Eenmaal op de neppagina krijgt de gebruiker te maken met een lay-out die nauw overeenkomt met de legitieme site, waardoor de kans op het identificeren van inconsistenties afneemt.
KnowBe4 adviseerde shoppers om ongevraagde links gedurende de hele verkoopperiode met voorzichtigheid te benaderen. Eenvoudige controles, zoals het bevestigen van de domeinnaam, direct winkeliers bezoeken en het vermijden van ongewoon hoge kortingen, kunnen het risico verminderen. Kopers moeten oplettend blijven, zelfs wanneer aanbiedingen aantrekkelijk lijken, en vermijden aankopen te doen op pagina’s die persoonlijke informatie vragen die normaal gesproken niet vereist zijn.