Callback-Phishing: Dringender Rückruf erbeten
Angreifer geben sich in E-Mails als Sicherheitsunternehmen aus und bitten um einen Rückruf. Doch statt einer Überprüfung wird der Rechner gehackt.
Sie geben sich als Sicherheitsunternehmen wie Mandiant oder Crowdstrike aus und bitten um einen Rückruf wegen eines Sicherheitsproblems. Doch wer die Telefonnummer anruft, landet nicht bei der Sicherheitsfirma, sondern bei Betrügern, die ihr Opfer per Social Engineering zur Installation einer Schadsoftware überreden wollen. Diese preisen sie natürlich als Sicherheitssoftware an.
Statt ihren Opfern einen Link zu einer Phishing-Webseite oder Schadsoftware in Form von Anhängen oder Links zu schicken, setzen immer mehr Angreifer auf solche Callback-Phishing-Kampagnen, bei denen sie unter dem Namen bekannter Unternehmen um einen Rückruf bitten, sei es, um eine Abonnementverlängerung zu stornieren, oder um ein Sicherheitsproblem zu besprechen. Rufen Opfer die Telefonnummer an, versuchen die Betrüger sie beispielsweise zur Installation einer Fernwartungssoftware zu überreden.
Das Onlinemagazin Bleepingcomputer berichtet über einen Fall, in dem sich die Angreifer als Experten der Sicherheitsfirma Crowdstrike ausgaben und die Betroffenen in einer E-Mail vor vermeintlichen Hackern warnten, die in das Netzwerk des Unternehmens eingedrungen seien. Deshalb sei eine gründliche Sicherheitsüberprüfung erforderlich, erklärten die Angreifer.
Anschließend erklärten sie ausführlich, warum ein Zugriff auf die Geräte der Betroffenen nötig seien. Man habe während einer täglichen Netzwerküberprüfung abnormale Aktivitäten in dem Segment des Netzwerks festgestellt, in dem sich der Arbeitsplatz der betroffenen Person befinde, erklärten die Täter demnach. Man habe den spezifischen Domänenadministrator identifiziert, der das Netzwerk verwalte, und vermute eine Kompromittierung aller Arbeitsrechner in diesem Netzwerk.
Daher würden alle Arbeitsplätze detailliert überprüft, hieß es weiter. Man habe sich bereits an die Sicherheitsabteilung des Unternehmens gewandt, diese habe sie allerdings an die einzelnen Arbeitsplätze beziehungsweise die dortigen Mitarbeiter verwiesen, um eine mögliche Kompromittierung der Arbeitsplätze vor Ort zu verhindern. Daher solle man dringend unter der genannten Telefonnummer einen Termin zur Sicherheitsüberprüfung ausmachen.
In einem Bericht geht die echte Sicherheitsfirma Crowdstrike davon aus, dass das Ziel der Angreifer letztlich ein Ransomwareangriff und eine damit verbundene Lösegeldforderung ist. “Dies ist die erste identifizierte Callback-Kampagne, die sich als Cybersecurity-Unternehmen ausgibt, und hat angesichts der Dringlichkeit von Cyberangriffen ein höheres Erfolgspotenzial”, warnt Crowdstrike.
Vitali Kremez von der Sicherheitsfirma Advintel vermutet, dass hinter den Angriffen die Ransomwaregruppe Quantum steckt. Man habe erstmals im Juni 2022 entsprechende Angriffe entdeckt, bei denen sich die Betrüger als IT-Experten von Crowdstrike oder Mandiant ausgegeben hätten.
Der Beitrag Callback-Phishing: Dringender Rückruf erbeten erschien zuerst auf Linux-Magazin.