Phishing via bestaande domeinen gebeurt op verschillende manieren. In 9 procent van de onderzochte phishing-e-mails registreren aanvallers domeinen die sterk lijken op legitieme websites of bestaande e-mailadressen, zoals @zo0m-support.com in plaats van zoom.com. Om detectie te voorkomen, wachten ze vaak een periode voordat ze het domein daadwerkelijk gebruiken voor phishing. Veel beveiligingssystemen markeren nieuw geregistreerde domeinen als potentieel verdacht, vooral als deze direct actief worden ingezet voor e-mailcampagnes. Door het domein eerst enkele maanden ‘te laten rusten’, wekt het vertrouwen en wordt het minder snel als schadelijk aangemerkt.
Daarnaast verkrijgen aanvallers toegang tot bestaande, legitieme zakelijke domeinen via gestolen inloggegevens of zwakke beveiliging. Slechts 30 procent van de onderzochte phishing-e-mails is afkomstig van freemaildiensten zoals Hotmail of Gmail, die vaak door individuen worden gebruikt. Daarnaast maken aanvallers gebruik van email spoofing. Door gebrekkige beveiliging in de protocollen waarop email is gebouwd, kan een aanvaller in sommige gevallen het doen lijken alsof hij vanuit een ander domein (‘@organisatienaam’) mailt en zo een slachtoffer om de tuin leiden. Omdat deze domeinen als legitiem worden beschouwd, slagen criminelen erin om phishingmails te versturen zonder dat beveiligingssystemen alarm slaan.
Cybercriminelen misbruiken ook betrouwbare samenwerkingsplatformen zoals Slack en Dropbox. Ze creëren bijvoorbeeld een echt document binnen een legitieme dienst en delen dit met slachtoffers. In dat document staat vervolgens een kwaadaardige link die leidt naar een valse inlogpagina of een schadelijke download. Omdat de uitnodiging afkomstig is van een officieel platform, kunnen deze phishingpogingen traditionele beveiligingsfilters makkelijker omzeilen.
Traditionele beveiligingsoplossingen, die vertrouwen op lijsten met bekende dreigingen en statische regels, schieten tekort. Zelflerende AI-technologie kan afwijkend gedrag in realtime detecteren, zonder afhankelijk te zijn van eerder geregistreerde dreigingsinformatie. Door continu te leren wat normaal gedrag is binnen een organisatie, kan AI subtiele patronen herkennen die duiden op een aanval. Dit stelt organisaties in staat om phishing en domeinmisbruik te stoppen voordat er schade wordt aangericht.