Al meer dan 10 jaar zijn Tibetanen en Tibetaanse organisaties het doelwit van malware-aanvallen, maar nu Tibetanen hebben geleerd om geen e-mailbijlagen meer te gebruiken maar clouddiensten, hebben ook de aanvallers hun tactieken aangepast. Dat meldt het Canadese Citizen Lab.

Citizen Lab is een laboratorium van de universiteit van Toronto en houdt zich bezig met mensenrechten en security. Het lab doet vaak onderzoek naar aanvallen op activisten, journalisten en organisaties in repressieve regimes. De afgelopen jaren berichtte de organisatie regelmatig over aanvallen op Tibetanen. Vaak gebruikten de aanvallers daarbij kwaadaardige Word-documenten. Die documenten maakten gebruik van oude kwetsbaarheden in Microsoft Office die niet waren gepatcht.

Om Tibetaanse monniken voor het risico van e-mailbijlagen te waarschuwen werd een campagne gestart genaamd "Detach from Attachments". In plaats van het uitwisselen van bestanden via e-mail wordt er nu met clouddiensten gewerkt, zoals Google Drive. Daarop hebben de aanvallers hun tactiek aangepast. De organisaties en personen die in het verleden met malware-aanvallen kregen te maken, zijn nu het doelwit van phishing.

De aanvallers konden worden herkend omdat ze voor de phishingaanvallen deels dezelfde infrastructuur als voor de malware gebruikten. Volgens de onderzoekers is de verschuiving van malware naar phishing belangrijk. "De aanvallers proberen niet meer kantoornetwerken aan te vallen, maar in plaats daarvan de sociale netwerken. Het phishen naar inloggegevens is een veel efficiëntere methode om toegang tot deze netwerken te krijgen dan document-gebaseerde malware."

Ook de gedragsaanpassingen van de Tibetaanse monniken en organisaties heeft ervoor gezorgd dat de aanvallers hun tactieken hebben veranderd en met eenvoudigere, maar mogelijk effectievere methodes zoals phishing experimenteren. Tevens wordt ook de verbeterde detectie van de voorheen gebruikte malware door anti-virussoftware genoemd. "De snelheid en het gemak waarmee de aanvallers zich aanpassen laten de uitdagingen zien waar Tibetanen die veilig op internet willen zijn mee te maken hebben", aldus de onderzoekers.

Advies

Afsluitend geeft Citizen Lab nog verschillende tips en adviezen aan de aangevallen organisaties en personen om zich te beschermen. Als eerste wordt het gebruik van twee-factor authenticatie aangeraden. Daarnaast doen gebruikers er verstandig aan om "Password Alert" te installeren. Dit is een door Google ontwikkelde uitbreiding voor Chrome die waarschuwt als gegevens voor het Google-account niet op de echte Google-inlogpagina worden ingevoerd. Verder helpt ook het gedrag om aanvallen te voorkomen. Zoals alert zijn op e-mails die links of bijlagen bevatten en altijd de link in een e-mail te controleren met de url waar naar wordt verwezen.