De sluwe techniek achter de nep-controle
Onderzoekers van Malwarebytes hebben een geraffineerde methode ontdekt waarbij aanvallers een kopie van de Google-accountbeveiliging gebruiken. In plaats van een simpel wachtwoordformulier, word je verleid om een Progressive Web App (PWA) te installeren via een vals adres zoals google-prism punt com. Dit is geen ouderwetse phishingpagina die verdwijnt zodra je de tab sluit, maar software die zich nestelt in je systeem.
Het venijn zit in de techniek van de zogenaamde service worker. Deze blijft op de achtergrond actief, zelfs als je de browser afsluit. De criminelen krijgen hierdoor toegang tot je klembord en je meldingen, waarmee ze moeiteloos tijdelijke 2FA-beveiligingscodes buitmaken. Voor een ondernemer betekent dit dat zelfs dubbele verificatie je niet langer beschermt tegen onbevoegde toegang tot je zakelijke accounts.
Waarom je browser een proxy wordt
De gevolgen van deze aanval gaan verder dan alleen diefstal van inloggegevens. De criminelen kunnen jouw browser misbruiken als een proxy. Dit houdt in dat zij hun eigen illegale internetverkeer via jouw verbinding laten lopen om hun sporen uit te wissen. Jouw IP-adres wordt dan gekoppeld aan criminele activiteiten, wat voor enorme juridische en reputatieschade kan zorgen.
Daarnaast zijn deze aanvallers specifiek uit op locatiegegevens en crypto-wallets. In een tijd waarin veel MKB-ondernemers hun financiën en klantbeheer in de cloud regelen, is dit een direct risico voor de bedrijfscontinuïteit. Het onderscheppen van data gebeurt volledig geruisloos, waardoor je pas onraad ruikt wanneer de rekeningen zijn geplunderd of de toegang tot je systemen is geblokkeerd.
Zo herken je de legitieme Google beveiligingscheck
Gelukkig is de oplossing simpel als je weet waar je moet kijken. Google voert nooit een Google beveiligingscheck uit via willekeurige pop-ups of vage domeinnamen. Officiële meldingen en controles verlopen uitsluitend via de beveiligde omgeving op myaccount.google.com. Elke andere bron die vraagt om software te installeren voor een controle, is per definitie onbetrouwbaar.
Het gebruik van een professionele wachtwoordmanager is hierbij je eerste verdedigingslinie. Deze tools herkennen namelijk dat google-prism punt com niet de echte Google-omgeving is en zullen weigeren je gegevens in te vullen. Een scherpe blik op de adresbalk blijft de goedkoopste en meest effectieve beveiliging voor je bedrijf.
Wat valt ons op?
Deze aanval gebruikt je browser als proxy om criminele sporen uit te wissen via jouw IP-adres.
Wat betekent dit voor jou?
Voor de Nederlandse ondernemer is dit een herinnering dat digitale veiligheid niet ophoudt bij een sterk wachtwoord. Een verkeerde klik van een medewerker op een ogenschijnlijk betrouwbare Google beveiligingscheck kan je hele IT-infrastructuur compromitteren.
