Phishing is een van de oudste vormen van cybercriminaliteit. Het blijft groeien en zich ontwikkelen, wat het voor mensen moeilijk maakt om zich er tegen de beschermen.
Een van de nieuwe ontwikkelingen is callback phishingscams; e-mailcampagnes die zich voordoen als dure lidmaatschappen om ontvangers te misleiden die zich hiervoor nooit hebben aangemeld.
De e-mail bevat een telefoonnummer dat de ontvanger kan bellen voor meer informatie over dit zogenaamde lidmaatschap en om het op te zeggen. Hiermee wordt echter de deur naar social engineering-aanvallen geopend die de apparaten van slachtoffers met malware infecteren en soms zelfs met volledige ransomware-aanvallen.
Dit type aanval begon met wat nu bekend staat als BazarCall-campagnes.
Onder deze alias stuurden bedreigingsacteurs e-mails die zich voordeden als abonnementen op populaire diensten, samen met een telefoonnummer om te bellen zodat ze de aankoop konden annuleren.
Als een doelwit het nummer belde, leidden de bedreigingsactoren hen door een reeks prompts wat uiteindelijk resulteerde in het downloaden van een Excel-bestand dat was geïnfecteerd met de BazarLoader-malware. BazarLoader gaf externe toegang tot gecompromitteerde apparaten, wat leidde tot ransomware-aanvallen.
De evolutie naar callback phishing
De social engineering-methode in recente callback phishing-aanvallen is veranderd, maar het lokaas is nog steeds een factuur van bekende serviceproviders.
Zodra de ontvanger het opgegeven nummer belt, wordt hem door een nep-klantenservicemedewerker die heel professioneel klinkt om ‘verificatie’ van de factuurgegevens gevraagd. Vervolgens zegt deze oplichter dat er geen overeenkomende gegevens bestaan en dat de e-mail van het slachtoffer spam was.
De nep-klantenservicemedewerker vertelt de ontvanger dat de spam-e-mail zijn computer mogelijk met malware heeft geïnfecteerd en biedt aan om hem in contact te brengen met een technicus. In de laatste stap wordt het slachtoffer verbonden met de nep-technicus om te helpen met de infectie, die ze naar een website brengt waar ze als antivirussoftware vermomde malware downloaden.
In de beveiligingssoftwarecampagnes beweren de oplichters dat het standaard geïnstalleerde beveiligingspakket op de laptop van het slachtoffer is verlopen en automatisch is vernieuwd. Uiteindelijk brengt de fraudeur het nietsvermoedende slachtoffer naar een malware-dropping gateway voor annulering en terugbetaling.
Met deze tactieken overtuigen ze slachtoffers om malware zoals BazarLoader, trojans of andere software voor externe toegang te downloaden en installeren, zodat de computer ook na het telefoongesprek toegankelijk blijft.
De laatste stap is om het slachtoffer over te halen om naar hun bankrekening te gaan om de terugbetaling te krijgen. Het slachtoffer wordt hierbij echter om te tuin geleid. De oplichter start namelijk een uitbetalings- in plaats van terugbetalingsverzoek terwijl het scherm van het slachtoffer wordt vergrendeld en ontgrendelt deze weer op het moment dat de voltooiing van de transactie inloggegevens vereist.
Na de transactie krijgt het slachtoffer een nep-terugbetalingspagina te zien om hem te laten geloven dat de terugbetaling is ontvangen. Daarnaast sturen de dreigingsactoren in sommige gevallen het slachtoffer een sms met de melding dat het geld is teruggestort om te voorkomen dat het slachtoffer fraude opmerkt.
Helaas is het kwijtraken van geld slechts een van de problemen die geïnfecteerde gebruikers zullen hebben. De geïnstalleerde malware zorgt er namelijk voor, dat de bedreigingsactoren hen voor een langere periode kan bespioneren en gevoelige gegevens zoals wachtwoorden en vertrouwelijke documenten stelen. Om nog maar niet te spreken over de mogelijke toegang van de pc naar een bedrijfsnetwerk en -data.
Bescherm u tegen callback phishingscams
Over het algemeen zijn callback phishing-scams moeilijk te af te weren omdat ze voortdurend in ontwikkeling zijn. De beste verdediging is om op de hoogte te zijn van de tekenen van oplichting, zoals onverwachte facturen of oproepen van nummers die u niet herkent. En installeer nooit zomaar software, omdat iemand die u niet kent dat telefonisch aan u vraagt. Als u vermoedt dat u het slachtoffer bent van een callback phishingscam, hang dan op en bel uw bank of serviceprovider rechtstreeks om verdachte activiteiten te verifiëren.
Image by Freepik