Een nieuwe phishingcampagne misleidt gebruikers om toegang te geven tot Google Workspace- en Facebook Business-accounts door valse vergaderuitnodigingen in de stijl van Calendly te sturen. De operatie werd ontdekt door onderzoekers van Push Security en is inmiddels gemeld door Cybernews, BleepingComputer en andere beveiligingsplatforms.
Oplichters doen zich voor als grote wereldwijde merken, waaronder Unilever, Google, Disney, Mastercard, LVMH, Lego, Uber en vele anderen, om overtuigende uitnodigingen in het kader van wervingsgesprekken te versturen. De e-mails lijken zeer professioneel, goed ontworpen en geschreven, en bevatten uitnodigingen voor het plannen van een gesprek, zonder verdachte bijlagen of vereiste acties.
Zodra de gebruiker de link opent, wordt hij doorgestuurd naar een nagemaakte Calendly-pagina met een CAPTCHA. Daarna volgt een redirect naar een phishingpagina die is ontworpen om inlogsessies van Google Workspace of inloggegevens van Facebook Business te stelen. Sommige versies gebruiken zelfs nep-browserpop-ups die legitieme inlogvensters nabootsen en echte URL’s tonen, om slachtoffers te misleiden tot het invoeren van hun wachtwoorden.
Push Security meldt dat de campagne zeer doelgericht en professioneel is uitgevoerd. Tot nu toe zijn minstens 31 unieke phishing-URL’s ontdekt, met meerdere varianten in ontwikkeling. Veel aanvallen zijn gericht op het kapen van Google Ads Manager- en Facebook Business-accounts, die criminelen kunnen gebruiken voor malvertising, het verspreiden van malware of om toegang door te verkopen op het dark web.
Sommige phishingpagina’s blokkeren ook VPN- of proxyverkeer en voorkomen dat gebruikers ontwikkelaarstools openen, wat het moeilijker maakt voor analisten om de aanvallen te onderzoeken.
Cybersecurity-experts waarschuwen dat traditionele tweefactorauthenticatie (2FA) mogelijk niet werkt tegen deze aanvallen, omdat de phishingpagina’s technieken gebruiken waarbij codes in realtime worden onderschept. Veel van de campagnes weten bovendien spamfilters en phishingfilters in e-mailclients te omzeilen, waardoor ze in de inbox van gebruikers terechtkomen als legitieme berichten.
Wervingsfraude is een opkomende cybercrimetrend die zowel door oplichters als door door de overheid gesteunde hackers wordt gebruikt. Eerder werd gemeld dat Chinese hackers overheidspersoneel viseerden met nepaanbiedingen op LinkedIn, terwijl Noord-Koreaanse hackers probeerden binnen te dringen bij Europese dronefabrikanten via valse vacatures.
