Onveilige e-mails voor toeristen
Op 17 februari 2022 ontving een toerist, laten we hem Mr X noemen, twee e-mails die zijn voorbereiding voor een reis naar Bangkok stoorden. Zijn vlucht was gepland op 22 februari, en hij had zijn Thailand Pass al verkregen. De e-mails kwamen van de domeinen passthailandteam.com en teampassthailand.com, die duidelijk niet aan de Thaise overheid zijn gekoppeld. Dit kan misleidend zijn voor iemand die niet voortdurend alert is op kwaadaardige e-mails.
Verontrustende verzoeken om persoonlijke informatie
Bij nadere inspectie blijkt dat de genoemde domeinen slechts enkele dagen voor de e-mails waren geregistreerd. Dit is een duidelijk teken dat de e-mails mogelijk onbetrouwbaar zijn. Ondanks de paniek die de e-mails bij Mr X veroorzaakten, volgde hij de instructies op en gaf hij zijn volledige naam, geboortedatum en een deel van zijn paspoortnummer door. De reden hiervoor blijft onduidelijk, maar er zijn sterke aanwijzingen voor identiteitsdiefstal.
Kwaadaardige downloads via vertrouwde sites
De tweede e-mail bevatte een link naar een website waar een ZIP-bestand met de naam “qr_thailand_pass.zip” kon worden gedownload. Dit bestand leek onschuldig, maar bij opening werd een VBS-bestand gedownload, dat in werkelijkheid een Remote Administration Tool (RAT) actief maakte. Interessant is dat de cybercriminelen hun schadelijke payload hostten op een gerenommeerde website, wat hen waarschijnlijk hielp om beveiligingssoftware te omzeilen.