image

FBI waarschuwt voor telefonische phishingaanvallen gericht op vpn-gegevens

zondag 23 augustus 2020, 10:23 door Redactie, 4 reacties

De FBI heeft een waarschuwing gegeven voor telefonische phishingaanvallen gericht op het verkrijgen van vpn-gegevens. Verschillende niet nader genoemde organisaties waren vorige maand het doelwit van de aanvallen, aldus de Amerikaanse opsporingsdienst in een Cybersecurity Advisory waar it-journalist Brian Krebs over bericht (pdf).

De aanval bestaat uit verschillende stappen, waarbij de aanvallers eerst domeinen registreren die de naam van de aangevallen organisatie bevatten. Vervolgens worden deze domeinen gebruikt voor phishingpagina's die identiek zijn aan de vpn-inlogpagina van de betreffende organisatie. De volgende stap voor de aanvallers is om hun slachtoffers naar deze phishingpagina's te lokken.

Hiervoor maken ze gebruik van publieke informatie op socialmediaplatformen, marketing- en recruitmenttools en openbronnenonderzoek. Zo krijgen de aanvallers allerlei informatie in handen, waaronder namen van medewerkers, adresgegevens, persoonlijke telefoonnummers, functie en hoe lang men al bij het bedrijf werkt. Met deze informatie bellen de aanvallers de werknemers op, soms vanaf gespoofte telefoonnummers die van andere bedrijfslocaties lijken.

De aanvallers doen zich bijvoorbeeld voor als de it-helpdesk en gebruiken de eerder verzamelde informatie om het vertrouwen van het slachtoffer te wekken. De zogenaamde helpdeskmedewerker vertelt het slachtoffer dat hij een nieuwe vpn-link krijgt toegestuurd om in te loggen. Deze link wijst naar de eerder gemaakte phishingpagina. Gegevens die slachtoffers hier invoeren, waaronder tweefactorauthenticatie, worden in real-time door de aanvallers gebruikt om op het echte vpn-account van het slachtoffer in te loggen.

De FBI geeft organisaties verschillende adviezen om zich tegen dergelijke aanvallen te wapenen. Zo moeten vpn-verbindingen alleen toegankelijk zijn voor door de organisatie beheerde systemen, iets wat via hardwarmatige controles of geïnstalleerde certificaten is te doen. Verder moet het aantal uren dat de vpn-dienst beschikbaar is waar mogelijk worden beperkt, kunnen organisaties via domeinmonitoring kijken of aanvallers domeinen met de bedrijfsnaam registreren en wordt een formeel authenticatieproces voor communicatie tussen medewerkers via de telefoon aangeraden.

Reacties (4)
23-08-2020, 13:32 door [Account Verwijderd]
De aanvallers doen zich bijvoorbeeld voor als de it-helpdesk en gebruiken de eerder verzamelde informatie om het vertrouwen van het slachtoffer te wekken. De zogenaamde helpdeskmedewerker vertelt het slachtoffer dat hij een nieuwe vpn-link krijgt toegestuurd om in te loggen.
Ik vraag mij af of het niet beter is dat bedrijven en organisaties authenticatie voor it-helpdesk medewerkers gaan invoeren, omdat tegenwoordig ook telefoonnummers zijn te spoofen.

Naar mijn idee zou het daarom bijvoorbeeld een tijdgesynchroniseerd token kunnen worden gebruikt of een andere methode waarbij de authenticatie van de it-helpdesk voor de werknemer aan de andere kant van de lijn vaststaat.

Dus voor een betere security aan de kant van de helpdesk zie ik daar wel kansen.
23-08-2020, 16:01 door [Account Verwijderd]
Door Advanced Encryption Standard:
De aanvallers doen zich bijvoorbeeld voor als de it-helpdesk en gebruiken de eerder verzamelde informatie om het vertrouwen van het slachtoffer te wekken. De zogenaamde helpdeskmedewerker vertelt het slachtoffer dat hij een nieuwe vpn-link krijgt toegestuurd om in te loggen.
Ik vraag mij af of het niet beter is dat bedrijven en organisaties authenticatie voor it-helpdesk medewerkers gaan invoeren, omdat tegenwoordig ook telefoonnummers zijn te spoofen.

Naar mijn idee zou het daarom bijvoorbeeld een tijdgesynchroniseerd token kunnen worden gebruikt of een andere methode waarbij de authenticatie van de it-helpdesk voor de werknemer aan de andere kant van de lijn vaststaat.

Dus voor een betere security aan de kant van de helpdesk zie ik daar wel kansen.


@Advanced Encryption Standard,

Dat is een goede heldere gedachte, die opvolging verdient!
Ik ben geen IT specialist, noch programmeur, maar als ik het was, ging ik ermee aan de slag.
23-08-2020, 20:03 door Anoniem
Door Piet Slagwerker:
Door Advanced Encryption Standard:
Dus voor een betere security aan de kant van de helpdesk zie ik daar wel kansen.


@Advanced Encryption Standard,

Dat is een goede heldere gedachte, die opvolging verdient!
Ik ben geen IT specialist, noch programmeur, maar als ik het was, ging ik ermee aan de slag.

Ach welnee, dat is een blik op het probleem die alleen maar aangestuurd is door een geschetst scenario van een aanval
en die in de praktijk niet werkt omdat het niet afgedwongen kan worden en er makkelijk omheen gewerkt kan worden met
een net wat ander aanval scenario.

Je kunt dan net zo goed een codewoord afspreken waarnaar je moet vragen als "de helpdesk je belt". Vraag je het
niet, dan werkt het ook niet.
24-08-2020, 09:08 door Anoniem

Je kunt dan net zo goed een codewoord afspreken waarnaar je moet vragen als "de helpdesk je belt". Vraag je het
niet, dan werkt het ook niet.
Ook dat soort dingen lekken uit, zeker als het een algemeen codewoord is.
Grootste probleem zullen de gebruikers zijn, die interesseert het helemaal niks en zien
alleen maar een onnodig codewoord. Zullen dwars gaan liggen. Gaat niet werken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.