Callback-Phishing

Kriminelle tarnen sich als Cybersecurity-Firma

Uhr
von Leslie Haeny und yzu

Im Zuge einer Callback-Phishing-Kampagne geben sich kriminelle Hacker als Cybersecurity-Unternehmen aus. Sie halten ihre Opfer dazu an, eine vermeintliche Sicherheitsprüfung am Rechner durchzuführen und verschaffen sich so Zugriff auf das Gerät.

(Source: Leon Pauleikhoff / Unsplash)
(Source: Leon Pauleikhoff / Unsplash)

Kriminelle Hacker geben sich im Zuge einer sogenannten "Callback-Phishing"-Kampagne als das US-amerikanische Cybersecurity-Unternehmen Crowdstrike aus. Anders als gängige Phishing-Attacken zielt Callback-Phishing nicht darauf ab, dass Opfer auf einen Link in einer E-Mail klicken oder E-Mail-Anhänge herunterladen, stattdessen bittet der Absender um einen Rückruf. Nimmt das Opfer das Telefon in die Hand, wird es dazu angeleitet, eine Fernzugriffssoftware auf dem eigenen Gerät zu installieren. Über diese können Cyberkriminelle die vollständige Kontrolle über das Gerät erlangen, auf Unternehmensdaten zugreifen und Dateien verschlüsseln.

Laut "Bleepingcomputer" informieren die Kriminellen ihre Opfer im aktuellen Fall darüber, dass böswillig Eindringlinge ihre Workstations kompromittiert hätten und daher eine gründliche Sicherheitsüberprüfung erforderlich sei. In der Phishing-E-Mail werden die Mitarbeitenden aufgefordert, die Betrüger unter einer beigefügten Telefonnummer anzurufen, um einen Termin für die Sicherheitsüberprüfung ihrer Arbeitsplätze zu vereinbaren. Bei einem Anruf führen die kriminellen Hacker das Opfer durch die Installation von Remote-Administrations-Tools (RATs).

Hohes Erfolgspotenzial

Crowdstrike gehe davon aus, dass diese Kampagne zu einem Ransomware-Angriff führen wird, wie es bei früheren Callback-Phishing-Kampagnen der Fall war. Wie "Bleepingcomputer" schreibt, ist es die erste identifizierte Callback-Kampagne, in der sich Kriminelle als Cybersecurity-Firma ausgeben. Crowdstrike stufe das Erfolgspotenzial der Kampagne aufgrund der Wichtigkeit und Dringlichkeit von Cybersicherheit in Unternehmen als hoch ein.

Bekannt wurde Callback-Phishing vergangenes Jahr mit dem Start der BazarCall-Phishing-Kampagnen, hinter denen laut dem Onlineportal die Conti-Ransomware-Bande steckte. Damals wurden die Opfer dazu angehalten, eine Nummer anzurufen, um ein Abonnement zu kündigen. Mittlerweile lassen sich Cyberkriminelle immer neue Methoden einfallen, damit Mitarbeitende zum Telefon greifen. Auch das Nationale Zentrum für Cybersicherheit (NCSC) warnte kürzlich vor Callback-Phishing. Mehr dazu lesen Sie hier.

Quantum vermutlicher Absender

Hinter der aktuellen Kampagne könnte die Quantum-Ransomware-Gang stecken. "Advintel entdeckte am 21. Juni 2022, dass Quantum einen neuen IOC vorbereitete, der auf einem Bedrohungsakteur basierte, der sich als IT-Experte von Mandiant oder Crowdstrike ausgab, um ein Opfer davon zu überzeugen, dem Bedrohungsakteur zu erlauben, eine 'Überprüfung' des Rechners des Opfers durchzuführen", zitiert "Bleepingcomputer" einen Bericht des Cybersecurity-Spezialisten Advintel.

Quantum ist derzeit eine der am schnellsten wachsenden Ransomware-Operationen, die auf Unternehmen abzielt. Sicherheitsanalysten hätten zudem bestätigt, dass viele ehemalige Conti-Mitglieder zu Quantum übergelaufen sind.

Lesen Sie ausserdem: An seinem Security & Risk Management Summit im Juni in Sydney hat das Marktforschungsunternehmen Gartner seine acht wichtigsten Cybersecurity-Prognosen für 2022/23 präsentiert.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_262251