Cybersecurity-experts houden al enige tijd een nieuwe dreiging voor e-mailgebruikers in de gaten, specifiek gericht op hun wachtwoorden. Deze dreiging komt, zoals bijna altijd, via een legitieme internettechnologie. Het gebruik van Blob URIs om phishingpagina’s te verspreiden die gebruikersgegevens kunnen stelen via e-mailboxen, blijkt een favoriet hulpmiddel voor hackers.
Bij SolidBE zien we ook een toenemende aantal “targeted” phishing-mails die we bijna dagelijks ontvangen. De gebruikte methode werkt via de mogelijkheid om url links lokaal in een browser te laden waarbij mail-gateways (en hun securitychecks) omzeild worden. De link zelf wijst naar een legitieme site waar niets mee aan de hand is, de daarop volgende data die geladen worden is alleen lokaal in de browser te lezen en die verwijst dan naar een malafide stuk code.
De techniek misbruikt
“Blob URIs worden gegenereerd door een browser om tijdelijke gegevens weer te geven en ermee te werken, die alleen die specifieke browser kan benaderen,” aldus Jacob Malimban van het Cofense Intelligence Team. Diensten zoals YouTube gebruiken bijvoorbeeld blob URIs om video’s tijdelijk in een browser op te slaan. Het voordeel van een blob is dat alleen de browser die het heeft gegenereerd, er toegang toe heeft. En dat is meteen ook het nadeel.
“Omdat de gegevens lokaal in de client-browser zijn opgeslagen,” legt Malimban uit, “kunnen blob URIs niet rechtstreeks via internet worden benaderd zoals gewone websites.” Dit betekent dat de uiteindelijke phishingpagina voor wachtwoorddiefstal niet toegankelijk is via internet zoals andere kwaadaardige sites, “omdat de blob URI om deze te bezoeken lokaal wordt gegenereerd.”
Het klinkt misschien als een oude B-film, maar het gevaar van de ‘blob’ is zeer reëel. Check altijd de afzender van de mail (in de header) en als u zaken niet vertrouwd, gooi de mail weg of laat deze checken door een specialist.
Ga dieper in op deze techniek via https://cofense.com/blog/using-blob-urls-to-bypass-segs-and-evade-analysis
