Siber suçlular, kurbanları tehlikeli programları indirmeye ikna etmek için siber güvenlik şirketlerinin kimliğine bürünüyor.
Kimliğine bürünülen siber güvenlik şirketlerinden Crowdstrike tarafından soruşturma (yeni sekmede açılır) kampanyada, tehdit aktörlerinin çeşitli şirketlere e-posta yoluyla ulaştığı, uç noktalarının ele geçirildiğini söylediği ve tehdidi nasıl ortadan kaldıracaklarına ilişkin daha fazla talimat için şirketi geri aramaya çağırdığı bir “geri arama kimlik avı” kampanyasını ortaya çıkardı.
E-posta ayrıca kurbanların araması gereken telefon numarasını da taşır ve tahmin edebileceğiniz gibi asıl şirkete değil, saldırganlara aittir.
Meşru yazılım ve hain hedefler
Kurban dolandırıcılığa düşerse ve gerçekten e-posta adresindeki numarayı ararsa, hattın diğer ucundaki kişi onları “ortak meşru uzaktan yönetim aracını (RAT’ler)” indirmeye ikna etmeye çalışacak ve bu da onlara erişim sağlayacaktır. hedef ağ. Ayrıca, yanal harekete izin vermek için kurbanın Cobalt Strike gibi kullanıma hazır sızma testi araçlarını kurmasını sağlamaya çalışacaklardı.
Başarılı ihlal ve yanal hareketin ardından, Crowdstrike tam olarak hangi fidye yazılımı varyantını kullandıklarını söyleyemese de, saldırganlar fidye yazılımı dağıtmaya çalışacaklar.
Böyle bir kampanyanın nispeten başarılı olmasının nedenlerinden biri, e-postaların hiçbir bağlantı veya ek içermemesidir. Bu nedenle, e-posta güvenliği için mümkündür (yeni sekmede açılır) çözümlerin yanı sıra antivirüs programları, bu e-postaları kötü amaçlı olarak algılamamak ve hedefin gelen kutusuna bırakmak için.
Dahası, siber saldırganlara telefon numaranızı vermek, saldırılar için ek bir yol açar.
Tam olarak yeni bir strateji değil. Siber suçlular, e-posta güvenlik sistemleri daha karmaşık ve kötü niyetli aktörleri tespit etmede daha iyi hale geldikçe, bu yaklaşımı aylardır kullanıyor.
Kara Cuma 2021 civarında, dolandırıcıların Amazon, Target ve Walmart gibi büyük markaları taklit ederek kurbanların kendilerini aramasını sağlamaya çalıştıkları da tespit edildi.