Google waarschuwt organisaties en bedrijven voor telefonische phishingaanvallen waarbij de aanvallers medewerkers op hun privételefoon bellen en vervolgens naar een phishingsite sturen om zo inloggegevens en multifactorauthenticatie (MFA) codes te onderscheppen. Het uiteindelijke doel van de aanvallers is om toegang tot SaaS-applicaties te krijgen en daar allerlei gevoelige gegevens te stelen. Vervolgens worden de organisaties met de buitgemaakte data afperst.
Bij de aanval bellen de aanvallers medewerkers vaak op hun privételefoon, om zo security tooling en de standaard supportkanalen te omzeilen, laten onderzoekers van Google weten. De aanvallers doen zich meestal voor als de it-afdeling of helpdesk en stellen dat er een verplichte migratie naar passkeys plaatsvindt of er een MFA-update nodig is. Het doelwit wordt vervolgens naar een phishingdomein doorgestuurd waarin de naam van de organisatie voorkomt.
Gegevens die het slachtoffer op deze phishingsite invoert worden in real-time op de echte inlogpagina geprobeerd. Wanneer de echte inlogpagina om een MFA-challenge vraagt krijgt ook het doelwit dit verzoek te zien. Zo kunnen de aanvallers de benodigde MFA-code krijgen of de medewerker de MFA-pushnotificatie goed laten keuren. Zodra de aanvallers toegang tot het account van de medewerker hebben voegen de aanvallers meteen hun apparaat toe als MFA-methode.
In de volgende stap gebruiken de aanvallers SSO om zich lateraal door de SaaS-applicaties van de organisatie te bewegen. Daarbij hebben de aanvallers het volgens Google vooral voorzien op Microsoft 365- en Okta-omgevingen. Via de gehackte accounts loggen de aanvallers in op SharePoint, OneDrive en andere verbonden SaaS-applicaties zoals Zendesk en Salesforce. In verschillende gevallen gebruiken de aanvallers interne zoekfuncties om te zoeken naar zaken als "vertrouwelijk" en "social-securitynummer", om zo sneller gevoelige data te vinden.
De groep wordt door Google UNC6671 genoemd, maar de criminelen presenteren zichzelf als "BlackFile". Onlangs maakten de criminelen bekend dat ze "onder deze naam" stoppen. Ook haalden de criminelen hun website offline waarop gestolen data werd aangeboden. De onderzoeker merken op dat de criminelen mogelijk onder een andere naam verdergaan. Verder stelt Google dat de phishingaanvallen onder andere laten zien dat het belangrijk is dat organisaties phishingbestendige MFA implementeren, zoals security keys of passkeys.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
