Vorig jaar zagen secuirty-experts de snelle opmars van vishing. Dit meldt Check Point in zijn jaarlijkse Cyber Security Report.
Bij deze criminele-techniek zien we eigenlijk de onwenselijke terugkeer van een oude methode van social engineering – maar dan in een nieuwe jas. Een malware-variant die heel goed past bij de dynamische veranderingen in de werkomgeving bij veel medewerkers van organisaties. We werken plotseling massaal thuis. Dit leidt tot minder face-to-face contact met collega’s. Daar maken criminelen misbruik van, onder meer door het toepassen van vishing.
Vishing: phishing met de stem
Het woord vishing is een combinatie van voice en het ‘vertrouwde’ phishig. Het is een poging door criminelen om toegang tot privé- of zakelijke-informatie en -netwerken te krijgen. Dit, door middel van frauduleuze telefoontjes.
Gedurende het gesprek beweegt de aanvaller zijn gesprekspartner tot het openen van documenten die van malware zijn voorzien. Ook het delen van gevoelige informatie kan het doel vzij. Of het verlegen van toegang tot devices zoals bijvoorbeeld desktops.
Hierbij gebruikt de beller technieken die we kennen van andere vormen van social engineering. Door zich goed te informeren wordt het vertrouwen van het slachtoffer gewonnen.
Geperfectioneerde aanvallen
In de loop van 2020 maakte de golf aan succesvolle aanvallen duidelijk dat vishing zich inmiddels niet meer beperkt tot telefoontjes van zogenaamde IT- of helpdeskmedewerkers. Veel medewerkers waren daar inmiddels voor gewaarschuwd en lieten zich niet door de malafide beller verleiden.
Maar net als bij andere vormen van social engineering, denk aan CEO-fraude, worden ook vishing-aanvallen verder geperfectioneerd. Door zich goed te verdiepen in de achtergrond van het potentiele slachtoffer in combinatie met goede gesprekstechnieken is deze vom van cybercrime geschikt om toegang te krijgen tot zakelijke netwerken.
Vishing as a service
Zoals veel IT-applicaties inmiddels ‘as a service’ zijn af te nemen, vormen malware-‘oplossingen’ daarop geen uitzondering. Eerder schreven we al over de snelle opmars van DDoS als een service. Op dit moment is al een groot aantal cybercriminelen actief in het aanbieden van vishing-aanvalen ‘on demand’. Hun klanten zijn organisaties of personen die toegang zoeken tot specifieke ondernemingen
Afgelopen jaar richtten deze aanvallen zich met name personeel dat vanuit huis werkt. Het doel was doorgaans hun VPN-instellingen te verkrijgen, opdat het netwerk voor e-criminelen openligt. Door goede voorbereiding, denk aan zowel kennis van de organisatie als informatie over het slachtoffer zelf, kwamen de bellers betrouwbaar over. Daarnaast belden ze in het geval van VPN over een technische oplossing. Medewerkers gebruiken die weliswaar dagelijks, maar zijn doorgaans niet bekend met de werking ervan.
Internationale teams
Zoals vaak begon vishing bij onafhankelijke aanvallers, of kleine criminele groepen. Inmiddels echter weten we ook Iraanse en Noord-Koreaanse teams de techniek inzetten voor (bedrijfs)spionage en voor het succesvol verspreiden van bijvoorbeeld ransomware.
Ook twee factor authenticatie kan ermee omzeilt worden als de juiste gegevens, zoals 06-nummers worden ‘buitgemaakt’ tijdens het gesprek.
Deepfake
Check Point stelt dat de aanvallen passen in een beeld van veel social engineering aanvallen: ze zijn goed gepland en richten zich op specifieke gebruikers binnen organisaties. Daarbij gebruiken ze ook technieken als deepfake-opnames. Hierbij lijkt het of de leidinggevende zelf een voicemail inspreekt met de opdracht bijvoorbeeld geld over te maken.
