Een schijnbare e-mail wordt gebruikt als haakje om deze beruchte zwendel te verspreiden die de financiële informatie van slachtoffers in gevaar brengt.
Cybercriminaliteit blijft zich ontwikkelen, net als de strategieën die fraudeurs gebruiken om te profiteren van nieuwe digitale hulpmiddelen. Deze criminelen gebruiken technologie om steeds geraffineerdere methoden van misleiding te bedenken, waardoor de digitale veiligheid van hun slachtoffers in gevaar wordt gebracht.
Een duidelijk voorbeeld hiervan is e-mail, een platform dat weliswaar essentieel is voor werk en privégebruik, maar een kwetsbaar kanaal is geworden voor de verspreiding van cyberbedreigingen.
Met behulp van tools als phishing voeren cybercriminelen hun aanvallen uit, met goed ontworpen misleidingen en de imitatie van legitieme instellingen. Aanvallers slagen erin het vertrouwen van hun slachtoffers te winnen en hen over te halen gevoelige gegevens te verstrekken of schadelijke bestanden te downloaden.
De e-mail die u nooit moet openen
Volgens een recente studie gepubliceerd door het cyberbeveiligingsbedrijf ESET, op zijn officiële website WeLiveSecurity, ontdekt in Argentinië, circuleren er frauduleuze e-mails die lijken op officiële meldingen van de voormalige AFIP.
Deze berichten proberen gebruikers te verleiden tot het downloaden van de Grandoreiro banking Trojan, die oorspronkelijk uit Latijns-Amerika komt en minstens sinds 2017 actief is, een bedreiging die de financiële veiligheid ernstig in gevaar brengt.
Volgens informatie van cyberbeveiligingsdeskundigen waren de eerste operaties voornamelijk gericht op Brazilië en Mexico, maar vanaf 2023 richtte deze malware zijn aandacht op nieuwe doelen, waarbij Mexico en Argentinië de meest recente doelwitten van de aanvallen waren. De evolutie laat een zorgwekkend aanpassingsvermogen zien, waardoor het een aanhoudende dreiging is op het gebied van financiële cybercriminaliteit.
Deze Trojan werkt als eenachterdeur, waardoor het de controle over het geïnfecteerde systeem kan overnemen: het kan vensters manipuleren, updates uitvoeren, toetsaanslagen opnemen, muisklikken of -bewegingen simuleren, toegang krijgen tot bezochte URL’s, sessies afsluiten en zelfs de toegang tot specifieke sites blokkeren. Het haalt ook gedetailleerde computer- en gebruikersinformatie op, waaronder wachtwoorden die zijn opgeslagen in Google Chrome en gevoelige gegevens in Microsoft Outlook.
Hoe werkt de zwendel?
De fraude begint met de ontvangst van een frauduleuze e-mail waarin wordt beweerd dat er een openstaande boete is op naam van de ontvanger. Dit type bericht probeert paniek en urgentie op te wekken, een veelgebruikte strategie onder cybercriminelen om het slachtoffer tot actie aan te zetten zonder de juistheid van de inhoud in twijfel te trekken.
De vermeende communicatie gebruikt visuele elementen die lijken op die van een officiële melding, maar verbergt meerdere waarschuwingssignalen waardoor het kan worden geïdentificeerd als een poging tot misleiding.
Een van de belangrijkste aanwijzingen voor de valsheid is het adres van de afzender: serviciosarca@sfip.com. Dit domein combineert op verwarrende wijze de oude nomenclatuur van de belastingdienst (AFIP) met de nieuwe naam (ARCA), die niet overeenkomt met de officiële kanalen die door overheidsinstanties worden gebruikt.
Bovendien leidt de link “Belastingdocument bekijken” naar een misleidende pagina die vraagt om het downloaden van een ZIP-bestand, waarvan de lange en gecodeerde naam al wantrouwen zou moeten opwekken. Dit bestand bevat een script in “.vbs” formaat dat, wanneer het wordt uitgevoerd, de Grandoreiro Trojan installeert en zo de veiligheid van de computer en de gegevens van de gebruiker in gevaar brengt.
Met het oog op deze situatie heeft het Agentschap voor Inning en Controle van de Douane (ARCA) een communiqué uitgegeven waarin het waarschuwt voor de valsheid van deze e-mails en de burgers vraagt om de bijgevoegde links niet te openen.
