F5 over phishing trends en WordPress

Dit artikel staat stil bij de link tussen phishing, de sterke toename van het aantal misbruikte WordPress sites. Die sites hebben domeinnamen waarin merknamen zijn opgenomen, maar het zijn cybercriminelen die ze gebruiken. Deze vormen van criminaliteit zullen met de komende feestdagen nog verder toenemen. De huidige Covid-19 crisis is ook een reden voor de criminelen hiermee door te gaan.

F5 signaleert forse toenames

F5 heeft zojuist het 2020-phishing-and-fraud-report uitgebracht. In bijna 50 pagina’s (PDF) worden de belangrijkste trends beschreven. Voor bijna alle vormen van online fraude geldt dat in 2020 meldingen, omvang en variaties fors zijn toegenomen.

De voor de hand liggende reden van deze negatieve ontwikkeling is in de eerste plaats de Covid-19 crisis. Een veel grotere groep werknemers en ondernemers moet nu vooral via online actief en bereikbaar zijn. Dat zorgt er voor dat de doelgroep van cybercriminelen substantieel is toegenomen. Behalve dat de groep potentiële slachtoffers fors is toegenomen is een deel van deze groep ook niet even kundig en alert als het gaat om online veiligheid.

2020 heeft tot nu toe een paar opvallende pieken laten zien. Begin dit jaar, toe bleek dat de Covid-19 uitbraak zich niet tot een paar landen zou beperken, is al gewaarschuwd voor websites moet foute en misleidende informatie.

Tussen februari en medio maart steeg het aantal websites voorzien van het groene slotje waarin de “Corona” of “Covid-19” was opgenomen van 1.800 tot ruim 14.000 (zie links). In verreweg de meeste gevallen ging het hierbij om site die suggereerden medicijnen, mondkapjes en dergelijke te verkopen. Het is de eerste keer dat foute e-commerce op een dergelijk grote schaal is waargenomen. De toename van dit verkeerde aanbod overtreft dan ook voorgaande explosies van nep e-commerce sites voor bijvoorbeeld imitatie sportkleding of merkschoenen.

WordPress valt op – en dat is niet positief

Dit nep aanbod is via websites gelopen. Over een bepaald soort websites schrijft het F5 rapport ook iets. De stijging van het aantal WordPress installaties (“websites”) voor phishing is ook fors toegenomen. Voor alle duidelijkheid. Een website die nep medicijnen aanbiedt hoeft geen phishing site te zijn. Maar de combinatie van de nep goederen en het achterhalen van persoons- en bankgegevens om daar later mee te frauderen komt wel regelmatig voor.

Voor het verkrijgen van die waardevolle klantdata maken de criminelen op grote schaal gebruik van domeinen die sterk lijken op een merknaam. Er zijn wat variaties mogelijk, maar in 54 procent van de gesignaleerde gevallen zal een onoplettende of minder digivaardige gebruiker hier op het verkeerde been gezet kunnen worden.

WordPress sites waren dit jaar goed voor 20 procent van alle phishing urls. Dat betekent dat cybercriminelen het grootste voordeel van dit CMS voor de verkeerde doelen inzetten. WordPress is namelijk zeer geschikt om snel een website online te brengen. En het is uiterst gemakkelijk bestaande installaties te klonen.

Het groene slotje

Het rapport van F5 noemt uiteraard nog meer vormen van phishing en fraude. Het geeft aan het eind ook een aantal praktische tips. De eerste is: Don’t Trust the Padlock! (vertrouw het groene slotje niet!).