Cybersäkerhetsforskare som följer utvecklingen av en typ av nätfiskekampanj, “Callback-attacker”, har kommenterat deras ökande sofistikerade förmåga och förmåga att lura offer.
Återuppringningsattacker börjar med ett falskt e-postmeddelande och slutar i vissa fall med att offer luras att ladda ner filer som utger sig vara Antivirus mjukvara och andra legitima appar men är i själva verket skadlig programvara.
I vissa fall laddades Conti ransomware ner till enheter inom 32 timmar efter att en bakdörr levererades till offret.
Vad är återuppringningsattacker?
Enligt Trellix, författare till en ny rapport med detaljerad information om återuppringningsattacker (ofta kallade “BazarCall”-attacker), börjar bluffen vanligtvis med att ett offer skickas via e-post av någon som utger sig för att arbeta för ett företag eller en organisation som de har tecknat ett dyrt abonnemang med.
Bifogat i mejlet finns ett telefonnummer som offren tvingas att ringa för att säga upp sitt abonnemang.
Offret leds sedan igenom en process som kulminerar i att skadlig programvara laddas ner till deras enhet, vanligtvis genom någon form av fjärrövertagande av deras maskin. Nedan är ett diagram (med tillstånd av Trellix) som illustrerar attackcykeln:
En kort historik om återuppringningsattacker
Det här är inte första gången vi har sett en återuppringningsattacker baka upp sitt fula huvud, men det är fortfarande en relativt ny form av nätfiske och avviker verkligen från den vanliga klicka-länken-här-stilen som används av många cyberbrottslingar.
Jämförelsevis är detta faktiskt ett lite längre spel. BazarCall phishing-kampanjer “avstår från skadliga länkar eller bilagor i e-postmeddelanden till förmån för telefonnummer som mottagare vilseleds att ringa” förklarar Microsoft i en blogginlägg från förra året.
“Det är en teknik som påminner om vishing och teknisk supportbedrägerier där potentiella offer blir kallade av angriparen.”
Trellix säger att BazarCall-kampanjer först kom i dagen 2020, och sedan dess har företaget kartlagt en “konstant ökning” av attacker som har sitt ursprung med sådan taktik.
I början av 2022 återlanserades den som en attackvektor av Conti, men aktörerna bakom operationen bröt sig enligt uppgift från gruppen i april och bildade gruppen “Silent Ransom”. Sedan dess har BazarCall-metoden för nätfiske antagits av andra grupper.
Skydda ditt företag mot nätfiske
Uppkomsten av en ny nätfisketeknik är alltid ett problem eftersom det visar att bluffen är lönsam och att den potentiellt till och med kan lura tekniskt kunniga offer.
Det finns dock några gyllene regler du kan följa för att allvarligt minska din chans att bli nätfiske. Dessa inkluderar:
- Inte öppna filer från okända e-postadresser (även om de påstår sig vara antivirusprogram).
- Behandla varje e-postmeddelande med stavfel med extrem försiktighet.
- Rapportera potentiellt misstänkta e-postmeddelanden till ditt IT- eller teknikteam.
- Att inte klicka på e-postmeddelanden som plockas upp av ditt företags e-posts spamfilter eller nätfiskeskyddsfunktion.
Kom ihåg: du kan alltid initiera en separat och distinkt kommunikationskanal med vilket företag ett e-postmeddelande du har fått utger sig vara från via deras kontaktformulär online.
Även om detta kan ta lite längre tid, kommer detta att säkerställa a) att du får reda på alla legitima problem och b) att du inte samverkar med illvilliga aktörer. Ett litet pris att betala, allt i beaktande.
