Ny phishing-taktik omgår automatiserede analyseværktøjer

Eskil Sørensen

04.11.2025 13:34

Målrettet e-mailvalidering skaber nye udfordringer for sikkerhedsteams

En ny metode kaldet Precision-Validated Phishing anvendes i stigende grad af cyberkriminelle for at undgå at blive opdaget og angribe specifikke ofre. I stedet for bredt distribuerede phishing-forsøg, som vi kender dem, viser den nye metode kun falske loginformularer, når en bruger indtaster en e-mailadresse, som er valideret og udvalgt på forhånd af trusselsaktøren. Med falske loginformularer forstås de formularer, der udstilles af de kriminelle, og som ofrene lokkes ind i.

Det er Bleeping Computer, der skriver historien om denne nye taktik, der reducerer støj og eksponering i kampagnen ved kun at interagere med udvalgte og relevante mål.

Problemet er, at cybersikkerhedsresearchere og automatiserede analyseværktøjer forhindres i at opdage og analysere phishing-siderne, da ugyldige eller testadresser omdirigeres til uskadelige sider eller præsenteres for fejlmeddelelser.

E-mailsikkerhedsfirmaet Cofense rapporterer, at tilgangen udgør en stigende udfordring for researchere og forsvarsværktøjer. Traditionelle analysemetoder – som indebærer test med falske legitimationsoplysninger – bliver ineffektive, da phishing-siderne simpelthen ikke viser indhold, hvis e-mailadressen ikke matcher en foruddefineret liste.

To teknikker til validering i realtid

Trusselsaktører benytter primært to metoder til at validere e-mailadresser i realtid:

Tredjeparts valideringstjenester: Phishing-sættene integrerer API-kald til eksterne tjenester, som bekræfter, om en indtastet e-mailadresse er gyldig og aktiv.
Indlejret JavaScript: JavaScript på phishing-siden sender brugerens e-mail til angriberens server, som tjekker adressen mod en prædefineret liste over mål.

Hvis adressen ikke findes på listen, omdirigeres brugeren automatisk til et uskadeligt websted – for eksempel Wikipedia – hvilket effektivt skjuler phishing-sidens sande formål.

I nogle tilfælde går angriberne endda skridtet videre og kræver, at brugeren bekræfter deres identitet via en kode sendt til deres e-mailadresse, hvilket yderligere forhindrer sikkerhedseksperter i at gennemføre analyser.

Konsekvenser og anbefalinger

Denne form for målrettet phishing forlænger således levetiden for ondsindede kampagner og underminerer traditionelle detektionsværktøjer. Det stiller nye krav til cybersikkerhedsberedskab, da dynamisk validering kræver mere avancerede modforholdsregler.

Det anbefales at fokusere på detektion baseret på adfærdsmæssige mønstre, netværksaktivitet og realtidsbaseret trusselsintelligens.

Og man undgår ikke at styrke bevidstheden hos slutbrugere om disse stadigt mere mere raffinerede phishing-metoder.

Læs mere

https://www.bleepingcomputer.com/news/security/phishing-kits-now-vet-victims-in-real-time-before-stealing-credentials/

Information