Biroul Federal de Investigații (FBI) al SUA și Agenţia pentru Securitate Cibernetică şi Securitatea Infrastructurii din SUA (CISA) au emis un aviz comun pentru a atrage atenția asupra unei creșteri în numărul de atacuri de tip vishing (phishing vocal), care vizează angajați ai diverse companii.

Acest val de atacuri ce se derulează pe dispozitivele mobile poate fi atribuit într-o oarecare măsură pandemiei COVID-19, care a forțat companiile să treacă la sisteme de work from home și a dus la un boom în utilizarea de rețele private virtuale (VPN) și la eliminarea anumitor metode de autentificare.

Potrivit avizului pe care îl puteți consulta aici, diverși infractori cibernetici au reușit de la mijlocul lunii iulie încoace să sustragă o mulțime de date de conectare dintr-o serie de companii. „Aceștia s-au folosit apoi de accesul angajaților la diverse instrumente și sisteme interne pentru a efectua investigații suplimentare despre victime și/sau pentru a obține în mod fraudulos venituri, folosind diferite metode în funcție de platforma accesată”, se menționează în avizul oficial.

Ca parte a acestor campanii, hackerii black hat au creat site-uri de phishing, după modelul paginilor de conectare VPN interne ale unor diferite companii, au obținut certificate Secure Socket Layer (SSL) pentru domeniile lor și le-au dat diverse nume ce aveau la bază numele companiei și cuvinte precum „support” (suport/asistență) sau „employee” (angajat).

Un articol pe aceeași temă: 5 sfaturi utile pentru o experiență „work from home” mai sigură

De asemenea, infractorii încercau să colecteze cât mai multe informații despre țintele lor. „Aceștia întocmeau apoi dosare cu angajații de la diferite companii selectate, folosindu-se de extrageri masive de date din profiluri publice de pe platformele de socializare, instrumentele de recrutare și de marketing, servicii de verificare a fondurilor disponibile public și cercetare open-source”, se arată în aviz. Informațiile colectate includeau numele, adresele de acasă, numerele personale de telefon și titlurile de job ale victimelor. 

Atacatorii continuau apoi operațiunea, încercând să contacteze victimele, mai întâi folosind numere VoIP (Voice over Internet Protocol), iar mai apoi datele furate ce țineau de angajați și departamente. Apelând la tehnici de inginerie socială, atacatorii impersonau membrii ai departamentului de suport tehnic și se foloseau de informații din dosarele lor pentru a câștiga încrederea victimelor.

Din acest punct, atacatorii reușeau să convingă țintele că vor primi un nou link VPN care ar necesita autentificarea lor, inclusiv autentificarea cu doi factori (2FA) sau o parolă unică (OTP). În unele cazuri, solicitările 2FA sau OTP erau aprobate de către angajați, care credeau în mod eronat că le acordau accesul unor colegi ai departamentelor de IT, în timp ce, în alte cazuri, atacatorii apelau la atacuri de SIM swapping (bazate pe înlocuirea cartelei SIM) pentru a păcăli măsurile de securitate.

Agențiile au oferit, de asemenea, sfaturi despre cum ar putea companiile să atenueze riscurile unor astfel de atacuri. Acestea fac referire la restricționarea conexiunilor VPN la dispozitivele gestionate, monitorizarea domeniilor, scanarea și monitorizarea activă a aplicațiilor web pentru a împiedica accesul neautorizat.

Să nu uităm că vishingul a stat la baza breșei de luna trecută de pe platforma Twitter, unde aproximativ 130 de conturi cu profil înalt au fost deturnate pentru a pune capăt unei escrocherii Bitcoin.