Een Indiaas it-bedrijf wordt verdacht van het uitvoeren van een jarenlang phishingcampagne tegen duizenden personen en honderden organisaties, zo meldt het Canadese Citizen Lab op basis van eigen onderzoek. Het gaat om het bedrijf BellTroX InfoTech Services, ook bekend als BellTroX Digital Security, dat tegen betaling voor klanten allerlei aanvallen uitvoerde.

Onder andere journalisten, politici, overheidsfunctionarissen, non-profitorganisaties, organisaties die zich met neutraliteit bezighouden, mensenrechtenactivisten, Greenpeace, het Center for International Environmental Law, het Climate Investigations Center en nog tal van andere organisaties en personen waren volgens Citizen Lab doelwit van het bedrijf. Dat probeerde via phishingmails toegang tot de e-mailaccounts van de aangevallen partijen te krijgen.

De onderzoekers konden de phishingaanvallen aan het Indiase bedrijf koppelen omdat het van een zelfontwikkelde url-verkorter gebruikmaakte. De e-mails die slachtoffers ontvingen maakten gebruik van deze url-verkorter om naar de uiteindelijke phishingsite te linken. Citizen Lab wist ook verschillende BellTrox-medewerkers te identificeren omdat ze persoonlijke documenten, waaronder een c.v., als lokaas gebruikten bij het testen van de url-verkorters.

Ook maakten ze screenshots en plaatsen ze berichten op social media waarin ze de aanvalstechnieken en onderliggende infrastructuur beschreven. De directeur van het bedrijf werd in 2015 door de VS aangeklaagd omdat hij tegen betaling op e-mailaccounts zou hebben ingebroken.

Volgens de onderzoekers stuurde het Indiase bedrijf phishingmails naar zowel de persoonlijke als zakelijke e-mailaccounts van doelwitten. In totaal werden er bijna 28.000 url's ontdekt die van 2013 tot en met 2020 bij de phishingaanvallen zouden zijn gebruikt. Hoe succesvol de aanvallen waren is onbekend. De website van BellTrox was op het moment van schrijven door de hostingprovider uit de lucht gehaald.

Citizen Lab stelt dat dit soort commerciële ondernemingen een bedreiging voor de democratie vormen en dat alle partijen betrokken bij deze phishingaanvallen verantwoordelijk moeten worden gehouden. De onderzoekers hebben hun bevindingen dan ook gedeeld met het Amerikaanse ministerie van Justitie.

De directeur van BellTroX laat in een reactie tegenover persbureau Reuters weten dat hij zich niet aan "hacking" heeft schuldig gemaakt. Hij zou naar eigen zeggen alleen privédetectives hebben geholpen door berichten van e-mailaccounts te downloaden nadat ze hem de inloggegevens hadden gegeven. "Ik weet niet hoe ze deze gegevens wisten te krijgen, maar ik heb ze alleen technisch ondersteund."