Oplichters en fraudeurs misbruiken de Russische invasie in Oekraïne om geld buit te maken en malware te verspreiden. Ze maken legitieme websites na en vragen bezoekers om via cryptomunten geld over te maken om zogenaamd burgerslachtoffers te helpen. In werkelijkheid belanden de donaties in de handen van de cybercriminelen. Dat schrijft beveiligingsbedrijf Infoblox in een blog.
Sinds het begin van de oorlog tussen Rusland en Oekraïne ziet de Infoblox Threat Intelligence Group dat cybercriminelen domeinnamen registreren en websites lanceren die met de Russische invasie te maken hebben. Ter vergelijking: in de dagen nadat de eerste Russische troepen Oekraïne binnendrongen, is het aantal geregistreerde Oekraïne-gerelateerde domeinnamen meer dan verdubbeld.
Oplichters springen in op de actualiteit door zogenaamd om humanitaire hulp te vragen voor de oorlogsslachtoffers. Ze doen zich voor als gedecentraliseerde anonieme organisaties (DOA’s) of onafhankelijke goededoelenorganisaties. De ene keer vragen de internetcriminelen om donaties, de andere keer zeggen ze voedsel, medicijnen en andere eerste levensbehoeften te verzamelen.
Veel verdachte en onbetrouwbare sites in omloop
Opvallend daarbij is dat cybercriminelen de mogelijkheid bieden om donaties via Bitcoin en andere cryptomunten over te maken. Een voorbeeld daarvan is een officieel lijkende Twitteraccount van de Oekraïense regering die daags na de Russische invasie vroeg of mensen donaties in cryptomunten konden overmaken. Sindsdien is het aantal onbetrouwbare nepsites geëxplodeerd.
Infoblox erkent dat het voor de doorsnee bezoeker uiterst moeilijk is om malafide websites te herkennen. De webadressen, vormgeving van de sites en teksten lijken vaak als twee druppels water op legitieme initiatieven. Volgens de onderzoekers is de website van Pussy Riot lid Nadya Tolokonnikova genaamd Ukraine DOA legitiem en wordt er via deze site geen malware of onbetrouwbare content verspreid. Websites van andere goededoelen organisaties zijn volgens Infoblox verdacht en onbetrouwbaar en ze hebben geen banden met personen of instanties rondom de Oekraïense regering.
Pas op voor nepberichten met malware
Naast malafide websites ziet Infoblox ook dat cybercriminelen ook spamberichten met malware versturen. Het gaat om de Agent Tesla Keylogger Trojan. Hiermee proberen de oplichters financiële gegevens van nietsvermoedende slachtoffers te stelen. Deze keylogger zit verstopt in een bijlage van een e-mail. Zodra een medewerker deze attachment opent, slaat de malware zijn slag.
“Wij raden iedereen aan twee keer na te denken voordat ze op links naar sites klikken, en de legitimiteit van deze organisaties te verifiëren”, zo waarschuwt Infoblox. “Sommige van deze sites kunnen dienen als frauduleuze dekmantel voor inlichtingendiensten of cybercriminele activiteiten, met mogelijke risico’s op spyware voor eindapparatuur en het oogsten van persoonlijk identificeerbare informatie (PII).”
