Cybercriminelen doen zich voor als callcenters en lokken slachtoffers met kaartjes voor Justin Bieber

Er zijn twee soorten callcenter-dreigingen die regelmatig door Proofpoint worden waargenomen. De ene maakt gebruik van gratis, legitieme software voor remote assistance om geld te stelen. De tweede maakt gebruik van malware dat is vermomd als een document en kan leiden tot de verspreiding van nog meer malware. Het tweede aanvalstype wordt vaak in verband gebracht met BazaLoader-malware en wordt vaak BazaCall genoemd. Beide aanvalstypen vallen volgens Proofpoint onder de noemer telephone-oriented attack delivery (TOAD). Proofpoint detecteert en blokkeert dagelijks tienduizenden van dit soort e-mailbedreigingen.

Call Center-dreigingen

Bij dit soort aanvallen is sprake van uitgebreide infectieketens waarbij veel interactie van het slachtoffer nodig is om de computer of smartphone van het slachtoffer te infiltreren. De bedreiger stuurt een e-mail met daarin een bon van een grote aankoop en doet zich voor als een bedrijf of organisatie. Daarbij kan de ontvanger een nummer in de e-mail bellen als hij de aankoop wil annuleren of niet vertrouwt. Als de gebruiker het telefoonnummer in de e-mail belt, zal een medewerker van de klantenservice de gebruiker begeleiden naar een website of een mobiele app store. Het slachtoffer moet diverse handelingen uitvoeren, zoals een schadelijk bestand downloaden of toegang op afstand tot zijn computer verschaffen.

Hoewel de twee verschillende TOAD-types hetzelfde beginnen - het slachtoffer ontvangt een e-mail en wordt doorverwezen naar de klantenservice - verschillen de aanvallen in hun uiteindelijke doel.

Aanvallers die uit zijn op financieel gewin maken meestal gebruik van valse facturen van bijvoorbeeld Amazon, Paypal of beveiligingssoftware. Zodra een persoon het nummer belt dat in de e-mail wordt vermeld, zal de aanvaller het slachtoffer vragen om software voor toegang op afstand te installeren, zoals AnyDesk, Teamviewer of Zoho en hen toegang verlenen om met de machine te verbinden. Vaak wordt het slachtoffer gevraagd om in te loggen op zijn bankrekening om geld terug te krijgen of om cadeaubonnen te kopen. Zodra de aanvaller is verbonden, verduisteren ze het scherm om hun activiteiten te verbergen. Misschien bewerken ze de HTML van de bankpagina om een ander bedrag te tonen of proberen ze het geld direct te stelen.

Afbeelding 1: Aanval gericht op financieel gewin.

Bij malware-gerichte aanvallen zoals BazaCall zijn de valse facturen vaak gedetailleerder, met thema's als Justin Bieber-concerten, lingerie en filmsites. Het slachtoffer wordt naar een schadelijke website geleid waar hem wordt verteld dat hij een document moet downloaden om zijn geld terug te krijgen, maar in plaats daarvan wordt hij geïnfecteerd met malware.

Afbeelding 2: BazaCall-aanval.

Zodra de aanvallers toegang tot het apparaat hebben verkregen, kunnen ze toegang krijgen tot bankrekeningen, e-mail en andere privérekeningen of extra malware downloaden, waaronder ransomware. Door gebruik te maken van aanvalsketens die veel menselijke interactie vereisen, kunnen bedreigers sommige geautomatiseerde detectieservices omzeilen die alleen schadelijke links of bijlagen in e-mail herkennen.

Populaire thema's voor callcenter-dreigingen

De lokkertjes en thema's die aanvallers gebruiken, variëren van pogingen zonder veel moeite tot het gebruik van legitieme merknamen en downloads van documenten. Onderzoekers van Proofpoint gaan regelmatig de confrontatie aan met aanvallers om meer inzicht te krijgen in de aanvallen en het gedrag van deze aanvallers.

PayPal

Zo heeft een onderzoeker van Proofpoint bijvoorbeeld een financieel gemotiveerde TOAD-dreiging ontdekt waarbij zogenaamd een PayPal-factuur van een Amerikaanse wapenfabrikant werd verstuurd.

Afbeelding 3: PayPal-factuur zogenaamd van het Amerikaanse bedrijf Springfield Armory.

De onderzoeker belde het nummer op de factuur en sprak met "David" die zich voordeed als een vertegenwoordiger van PayPal. David volgde een script en vertelde de onderzoeker AnyDesk te downloaden en in te loggen op zijn bankrekening. De aanvaller beweerde ook dat iemand had geprobeerd een wapen te kopen met zijn PayPal-rekening en waarschuwde hem dat hackers regelmatig toegang krijgen tot rekeningen van mensen om aankopen te doen. In totaal duurde het gesprek ongeveer een uur. 

Justin Bieber

Andere campagnes maken gebruik van lokkertjes met een populair thema, zoals tickets voor concerten van The Weeknd of Justin Bieber in 2022. Deze lokmiddelen worden in verband gebracht met BazaCall-dreigingen. Toen een onderzoeker van Proofpoint het nummer in de Justin Bieber e-mail belde, werd hij direct in de wacht gezet met muziek van de popster.

Afbeelding 4: E-mail met zogenaamd tickets voor een concert van Justin Bieber

Toen de Proofpoint-onderzoeker de BazaCall-aanvallers belde, beweerde een persoon met de naam "John Edwards" dat iemand per vergissing een bestelling op zijn creditcard had geplaatst en dat hij ziddat[.]com/code.exe moest bezoeken om zijn geld terug te krijgen. De onderzoeker downloadde het uitvoerbare bestand in een virtuele machine, en vertelde "John" dat er niets op het scherm te zien was. BazaLoader werd met succes gedownload, en "John" zei dat hij het probleem zou oplossen toen hij plots ophing. In totaal duurde het gesprek ongeveer 10 minuten.

Slachtoffers

Callcenter-dreigingen lijken zich niet specifiek te richten op mensen op basis van demografische gegevens, banen, locatie, enzovoort. Ze kopen hun lijsten met contactpersonen waarschijnlijk van legitieme bronnen voor telemarketing. En hoewel mensen meestal horen dat kwetsbare groepen, zoals ouderen en gehandicapten, het slachtoffer zijn, blijkt volgens het TrueCaller-rapport uit 2021 dat relatief vaak jonge mannen het slachtoffer zijn van telefoonoplichting.

Zoals zoveel slachtoffers van misdrijven, kunnen mensen die geld verliezen door cyberaanvallen zich schamen en in verlegenheid gebracht voelen, en vertellen ze niet graag wat er is gebeurd. Dit maakt het voor onderzoekers, rechtshandhavers en het publiek lastig om inzicht te krijgen in het werkelijke aantal mensen dat wordt getroffen door e-mailfraude via callcenters. Maar het verlies kan ingrijpend zijn. Proofpoint is op de hoogte van slachtoffers die bijna 50.000 dollar verloren bij één aanval, waarbij de bedreiger zich voordeed als een vertegenwoordiger van NortonLifeLock.

Gevolgen voor bedrijven

TOAD-aanvallers maken bij hun aanvallen geen onderscheid en sturen valse e-mails naar zowel persoonlijke e-mailaccounts (Gmail, Yahoo, Hotmail, enz.) als zakelijke e-mailadressen. Proofpoint heeft gezien dat BazaCall-criminelen zich richten op werknemers van grote organisaties. Hierbij kan één succesvolle infectie het hele bedrijfsnetwerk in gevaar brengen, wat vervolgens weer kan leiden tot nieuwe aanvallen met bijvoorbeeld ransomware.

Het aanvallen van privé-e-mailadressen van werknemers kan ook gevolgen hebben voor bedrijven. COVID-19 heeft bijvoorbeeld een verschuiving naar werken op afstand veroorzaakt. Hierdoor hebben meer mensen toegang tot persoonlijke informatie vanaf hun werkapparatuur of -accounts. Bovendien zijn TeamViewer en AnyDesk legitieme softwarediensten die mogelijk al op zakelijke apparaten zijn geïnstalleerd. Als de software externe verbindingen toestaat, kan de activiteit andere beveiligingsmaatregelen omzeilen die mogelijk zijn ingesteld om toegang op afstand te detecteren en blokkeren.

"Aanvallers worden steeds creatiever, en tickets voor Justin Bieber zijn interessant genoeg om zelfs de meest oplettende e-mailontvanger te misleiden", aldus Sherrod DeGrippo, VP Threat Research and Detection bij Proofpoint. "Als je vervolgens belt en probeert om de aankoop te annuleren, volgt een ingewikkelde infectieketen waarbij aanzienlijke menselijke interactie vereist is. Slachtoffers worden meegenomen in de slechtst denkbare klantenservice-ervaring-waarbij uiteindelijk hun geld wordt gestolen of hun systeem met malware wordt geïnfecteerd."

Proofpoint vermoedt dat kleine en middelgrote ondernemingen het grootste risico lopen op TOAD-dreigingen.