Onderzoekers van cybersecurity-bedrijf Proofpoint zien een toename van aanvallen waarbij cybercriminelen zich in e-mails voordoen als callcenters. Vervolgens vertrouwen criminelen erop dat slachtoffers een opgegeven telefoonnummer bellen en de interactie aangaan. De schade kan oplopen tot tienduizenden dollars.
Er zijn twee soorten callcenter-dreigingen die regelmatig door Proofpoint worden waargenomen. De ene maakt gebruik van gratis, legitieme software voor remote assistance om geld te stelen. De tweede maakt gebruik van malware die is verstopt in een document. De malware kan leiden tot de verspreiding van nog meer malware. Het tweede aanvalstype wordt vaak in verband gebracht met BazaLoader-malware en wordt vaak BazaCall genoemd.
Beide aanvalstypen vallen volgens Proofpoint onder de noemer telephone-oriented attack delivery (TOAD). Het bedrijf detecteert dagelijks tienduizenden van dit soort e-mailbedreigingen.
Opvallend bij dit soort aanvallen is dat er veel interactie van het slachtoffer nodig is om de computer of smartphone van het slachtoffer te infiltreren. Door gebruik te maken van aanvalsketens die veel menselijke interactie vereisen, kunnen bedreigers sommige geautomatiseerde detectieservices omzeilen die alleen schadelijke links of bijlagen in e-mail herkennen.
Werkwijze
De bedreiger stuurt een e-mail met daarin een bon van een grote aankoop en doet zich voor als een bedrijf of organisatie. Daarbij kan de ontvanger een nummer in de e-mail bellen als hij de aankoop wil annuleren of niet vertrouwt. Als de gebruiker het telefoonnummer in de e-mail belt, zal een medewerker van de klantenservice de gebruiker begeleiden naar een website of een mobiele app store. Het slachtoffer moet diverse handelingen uitvoeren, zoals een schadelijk bestand downloaden of toegang op afstand tot zijn computer verschaffen.
Hoewel de twee verschillende TOAD-types hetzelfde beginnen – het slachtoffer ontvangt een e-mail en wordt doorverwezen naar de klantenservice – verschillen de aanvallen in hun uiteindelijke doel.
Aanvallers die uit zijn op financieel gewin maken meestal gebruik van valse facturen van bijvoorbeeld Amazon, Paypal of beveiligingssoftware. Zodra een persoon het nummer belt dat in de e-mail wordt vermeld, zal de aanvaller het slachtoffer vragen om software voor toegang op afstand te installeren, zoals AnyDesk, Teamviewer of Zoho en hen toegang verlenen om met de machine te verbinden.
Vaak wordt het slachtoffer gevraagd om in te loggen op zijn bankrekening om geld terug te krijgen of om cadeaubonnen te kopen. Zodra de aanvaller is verbonden, verduisteren ze het scherm om hun activiteiten te verbergen en proberen ze geld te stelen. Zodra de aanvallers toegang tot het apparaat hebben verkregen, kunnen ze toegang krijgen tot bankrekeningen, e-mail en andere privérekeningen of extra malware downloaden, waaronder ransomware.
