Google en onderzoekers van The Citizen Lab hebben een nieuwe, gevaarlijke phishingcampagne ontmaskerd waarbij aanvallers permanente toegang tot Google-accounts weten te verkrijgen – zelfs wanneer multifactorauthenticatie (MFA) is ingeschakeld. De aanvallers, door Google geïdentificeerd als door de Russische staat gesponsorde hackers, richten zich specifiek op "app-wachtwoorden": zestiencijferige codes die alternatieve toegang bieden voor verouderde apps of apparaten.

Aanvalsmethode
Slachtoffers ontvangen een phishingmail, verstuurd vanaf een Gmail-adres, met een uitnodiging voor een online meeting van het Amerikaanse ministerie van Buitenlandse Zaken. Om geloofwaardigheid te wekken, plaatsten de aanvallers vier niet-bestaande @state.gov-e-mailadressen in de CC. De mailserver van het ministerie accepteert namelijk alle e-mails – ook voor onbestaande adressen – en stuurt geen foutmeldingen terug, waardoor de valse afzender onopgemerkt blijft.

Na reactie ontvangen doelwitten een PDF met instructies om een "app-wachtwoord" aan te maken en deze met de aanvallers te delen. Eén slachtoffer deelde meerdere codes, waardoor de hackers volledige en blijvende toegang kregen tot verschillende accounts. App-wachtwoorden omzeilen namelijk MFA-beveiliging, waardoor aanvallers ongehinderd kunnen inloggen.

Aanbevelingen en waarschuwingen
The Citizen Lab roept providers op gebruikers duidelijker te waarschuwen voor de risico’s van app-wachtwoorden. Organisaties wordt geadviseerd deze functie standaard uit te schakelen en alleen in te stellen waar strikt noodzakelijk. Google benadrukt dat gebruikers nooit app-wachtwoorden mogen delen en alert moeten zijn op ongevraagde mails, vooral bij ogenschijnlijk officiële verzoeken.

Deze campagne onderstreept volgens experts de toenemende verfijning van phishingaanvallen, waarbij aanvallers technische kwetsbaarheden en psychologische manipulatie combineren om zwaar beveiligde accounts te compromitteren.