De FBI heeft een waarschuwing gegeven voor telefonische phishingaanvallen gericht op het verkrijgen van vpn-gegevens. Verschillende niet nader genoemde organisaties waren vorige maand het doelwit van de aanvallen, aldus de Amerikaanse opsporingsdienst in een Cybersecurity Advisory waar it-journalist Brian Krebs over bericht (pdf).
De aanval bestaat uit verschillende stappen, waarbij de aanvallers eerst domeinen registreren die de naam van de aangevallen organisatie bevatten. Vervolgens worden deze domeinen gebruikt voor phishingpagina's die identiek zijn aan de vpn-inlogpagina van de betreffende organisatie. De volgende stap voor de aanvallers is om hun slachtoffers naar deze phishingpagina's te lokken.
Hiervoor maken ze gebruik van publieke informatie op socialmediaplatformen, marketing- en recruitmenttools en openbronnenonderzoek. Zo krijgen de aanvallers allerlei informatie in handen, waaronder namen van medewerkers, adresgegevens, persoonlijke telefoonnummers, functie en hoe lang men al bij het bedrijf werkt. Met deze informatie bellen de aanvallers de werknemers op, soms vanaf gespoofte telefoonnummers die van andere bedrijfslocaties lijken.
De aanvallers doen zich bijvoorbeeld voor als de it-helpdesk en gebruiken de eerder verzamelde informatie om het vertrouwen van het slachtoffer te wekken. De zogenaamde helpdeskmedewerker vertelt het slachtoffer dat hij een nieuwe vpn-link krijgt toegestuurd om in te loggen. Deze link wijst naar de eerder gemaakte phishingpagina. Gegevens die slachtoffers hier invoeren, waaronder tweefactorauthenticatie, worden in real-time door de aanvallers gebruikt om op het echte vpn-account van het slachtoffer in te loggen.
De FBI geeft organisaties verschillende adviezen om zich tegen dergelijke aanvallen te wapenen. Zo moeten vpn-verbindingen alleen toegankelijk zijn voor door de organisatie beheerde systemen, iets wat via hardwarmatige controles of geïnstalleerde certificaten is te doen. Verder moet het aantal uren dat de vpn-dienst beschikbaar is waar mogelijk worden beperkt, kunnen organisaties via domeinmonitoring kijken of aanvallers domeinen met de bedrijfsnaam registreren en wordt een formeel authenticatieproces voor communicatie tussen medewerkers via de telefoon aangeraden.
Deze posting is gelocked. Reageren is niet meer mogelijk.