Callback phishing-angreb er stigende. Hvis du nogensinde har modtaget en e-mail, hvor du bliver bedt om at forny en tjeneste eller betale en regning for en tjeneste, du aldrig har købt, har du oplevet callback-phishing.
Hvad er tilbagekaldsphishing?
Et callback phishing-angreb, nogle gange kaldet telefonorienteret angrebslevering (TOAD), kombinerer to phishing-metoder. Offeret modtager en phishing-e-mail, der advarer dem om et problem. I stedet for at give flere oplysninger om situationen i e-mailen, inkluderer trusselsaktøren et kontaktnummer i håb om et tilbagekald fra offeret.
Når modtageren ringer til det nævnte telefonnummer, bruger trusselsaktøren social engineering-teknikker til at lokke den offer til at dele følsomme data, installere malware eller foretage andre handlinger, der kan gavne trusselsaktøren.
Sådan fungerer tilbagekaldsphishing
Først modtager et offer en e-mail, der informerer dem om, at der skal betales for et abonnement på en tjeneste. Ofte er der ingen faktura vedhæftet med posten. Offeret bliver derefter nysgerrig eller rasende over at modtage betalingsanmodningen for en tjeneste, de ikke købte i første omgang - så de ringer til det telefonnummer, der er nævnt i e-mailen.
En trusselsaktør deltager i opkaldet og narrer offeret til at følge specifikke trin for at annullere ordren. Når offeret følger disse trin, bliver malware installeret på deres pc, eller trusselsaktøren modtager følsomme oplysninger.
Trusselsaktøren afslutter opkaldet, når offeret tager den handling, trusselsaktøren ønsker, at de skal foretage.
Hvorfor hackere forsøger tilbagekald phishing-angreb
Ved at udføre et vellykket callback-phishing-angreb kan en trusselaktør:
- Stjæle følsomme data, login-legitimationsoplysninger eller enhver anden form for fortrolige data.
- Installer ransomware på offerets computer for at kryptere data for at få løsepenge.
- Få offerets kreditkortoplysninger eller bankkontooplysninger for at stjæle penge.
- Installer fjernadgangssoftware på ofrets computer for at stjæle følsomme filer.
I de fleste callback-phishing-kampagner er formålet med angrebet at stjæle data, penge eller begge dele.
I disse dage anvender de fleste enkeltpersoner og virksomheder anti-phishing- eller anti-spam-løsninger til at blokere en e-mail med en ondsindet fil.
Tilbagekaldsphishing-e-mails indeholder dog ikke ondsindede vedhæftede filer eller ondsindede links. Så disse e-mails har en tendens til at omgå e-mail-filtre og blive leveret til ofrenes computere. Callback-phishing-angreb har også lave omkostninger pr. mål.
Så der er ingen overraskelse, at flere og flere trusselsaktører forsøger sig med callback-phishing.
Sådan forhindrer du tilbagekaldsphishing-angreb
En vellykket callback-phishing-kampagne kan gøre uoprettelig skade på en person eller en virksomhed.
Her er et par måder at beskytte sig mod tilbagekald phishing-angreb.
Implementer e-mailsikkerhedsløsning
Selvom nogle omhyggeligt udformede callback-phishing-e-mails kan glide forbi e-mailsikkerhedsløsninger, implementering af en velrenommeret e-mail-sikkerhedsløsning som en e-mail-gateway kan hjælpe med at forbedre din virksomheds sikkerhedsstilling.
Overvej, hvordan et virksomheds-e-mail-kompromis-angreb (BEC) kan koste dig enorme mængder penge og tab af omdømme. Implementering af en robust e-mail-sikkerhedsløsning kan minimere risikoen for virksomheds-e-mail-kompromittering. I de fleste tilfælde vil en e-mail-sikkerhedsløsning registrere og blokere e-mail-spoofing, phishing og svindel. En sådan løsning kan også hjælpe med at forhindre malwareinstallation på din pc.
Hvad mere er, kan en god e-mail-sikkerhedsløsning advare dig om mistænkelig brugeradfærd. Så sørg for at have en af de top e-mail suiter til sikker indbakke konfiguration.
Selvom du ikke arbejder i et professionelt miljø, kan en god antivirussoftware installeret på din enhed give dig optimal sikkerhed mod phishing-e-mails og mange andre cybersikkerhedstrusler.
Tjek e-mails nøje for tydelige phishing-tegn
Selvom callback-phishing-e-mails ikke har ondsindede vedhæftede filer eller links, har de nogle top phishing-tegn som du skal passe på.
En e-mail er sandsynligvis en phishing-e-mail, den har en usædvanlig afsender. For eksempel kan e-mailen hævde at komme fra en legitim virksomhed, men den har ikke en brandet e-mailadresse. I stedet har den en generisk e-mailadresse som google.com eller yahoo.com.
Du kan også være mistænksom over for e-mails fyldt med stave- og grammatiske fejl. Ingen legitim virksomhed sender e-mail fuld af tekstfejl. Hold også øje med beskeder, der giver et kort vindue til at udføre en opgave. For eksempel giver en e-mailadresse dig et par timer til at foretage en betaling for at holde et abonnement aktivt.
En phish-e-mail kan blive markeret af din e-mail-udbyder. Nogle e-mail-udbydere har indbygget anti-spam-teknologi til at advare brugere om phishing og spam-e-mails.
Nu kombinerer trusselsaktører forskellige sociale ingeniør-taktikker for at narre ofre til at ringe til dem. Så du bør være ekstra forsigtig, når du foretager handlinger baseret på e-mails, der vækker mistanke.
Vær mistænksom, hvis det handler om penge
En sikker måde at undgå at blive offer for et callback-phishing-angreb er at dobbelttjekke, om en besked handler om penge eller loginoplysninger.
Hvis en e-mail fra en tilsyneladende legitim virksomhed skaber en følelse af at det haster og beder dig om at sende penge, skal du være mistænksom.
I tilfælde af at e-mailen ikke har detaljerede oplysninger bortset fra telefonnummeret på dens kundeservicerepræsentant, er chancerne for, at den er en del af en tilbagekaldsphishing-kampagne.
Organiser phishing-træningsprogrammer
Callback phishing, en del af social engineering-angreb, er afhængig af menneskelige fejl snarere end systemsårbarheder.
Så at køre medarbejdernes cybersikkerhedsbevidsthedstræningsprogrammer regelmæssigt kan minimere risikoen for callback-phishing-angreb.
Her er nøgleområder, du bør fokusere på hvornår opbygning af et træningsprogram for sikkerhedsbevidsthed. Til at begynde med bør et træningsprogram for sikkerhedsbevidsthed tilbyde undervisning i forskellige cybersikkerheder angreb, herunder callback-phishing, spam, malware, social engineering-metoder, script-baserede angreb og mange flere. Der bør være nok fokus på, hvordan man spotter phishing-e-mails, ondsindede URL'er, useriøse websteder osv.
Medarbejdere bør ikke bruge en virksomheds-e-mailadresse til at downloade legitime pålidelige teknologiværktøjer fra falske websteder eller abonnere på tilfældige onlinetjenester. At gøre det er en sikker måde at invitere phishing- eller spam-e-mails på. Du bør sikre dig, at dine medarbejdere følger de bedste adgangskodesikkerhedspolitikker. De bør også bruge multi-faktor-godkendelse til at tilføje et lag af sikkerhed til deres konti.
Dit træningsprogram bør også have mock-phishing-tests for at vurdere dine medarbejderes parathed til at bekæmpe callback-phishing-kampagner. Og sørg for, at dine medarbejdere følger den bedste praksis beskytte virksomhedens e-mail-konti for at undgå svindel.
Callback Phishing forklaret
Nu ved du, hvad callback-phishing er, og hvordan du kan forhindre det. Vær på vagt for at undgå at blive ofre for et tilbagekalds-phishing-angreb. Du bør også lære mere for at forstå, hvordan en spam-e-mail ser ud for at få øje på en sådan e-mail hurtigt.