CallBack phishing est une méthode spearphishing utilisé par les acteurs de la menace Ransomware comme méthode d’accès initial (Initial access method).
Dans la pratique, elle consiste à ursuper l’identité de plateformes ou d’entreprises légitimes en envoyant des courriels affirmant que la victime a été ou sera facturée pour un service. Puis, elle exhorte les victimes à appeler un numéro de téléphone répertorié pour obtenir des éclaircissements supplémentaires.
En appelant ce numéro, la victime est dirigée vers un service de centre d’appels crée pour l’occasion, par les auteurs de la menace. Au téléphone, un « représentant du service client» cherche alors à obtenir un accès à distance et à distribuer des logiciels malveillants et/ou voler des données du réseau de la victime.
Vous l’aurez compris : le Callback phishing est une méthode qui utilise des astuces d’ingénierie sociale relativement avancées, interférant avec celles des escroqueries au support technique pour obtenir des accès à distance.
Cette méthode connue aussi sous le nom de BazarCall est apparue pour la première fois, au début de l’année 2021. Elle était alors utilisée par des groupes de Ransomware tels que Ryuk et plus tard Conti suivi de Luna Moth (alias Silent Ransom aka TG2729), Quantum et Roy / Zeon (alias Royal).
Comme l’expliquent nos analystes CTI dans leur rapport sur l’état de la menace ransomware au second trimestre 2022, l’utilisation du Callback phishing parmi les acteurs de la menace ransomware ne cesse de croître. Au deuxième trimestre 2022, il a augmenté de 625 % par rapport au premier trimestre 2021.
Ils estiment également que des versions plus personnalisées de campagnes de callback phishing pourraient émerger à l’avenir et entraver les efforts de suivi et de détection. D’autant plus que les messages de phishing utilisés n’incluent pas de composants malveillants en soi. Leurs usages par les groupes de cybercriminalités pourraient donc croître en 2023.
Pour en savoir sur ce rapport de SEKOIA.IO axé sur l’actualité de la menace ransomware, cliquez sur ce lien : https://blog.sekoia.io/sekoia-io-ransomware-threat-landscape-second-half-2022/
SEKOIA.IO est un éditeur européen de logiciels de cybersécurité. Grâce à la cyber threat intelligence et l’automatisation des capacités de défense, nous redonnons aux équipes en charge de la protection des systèmes, l’avantage de détecter les mencaces informatiques avant impact. Parmi nos produits figure un outil de threat intelligence, une plateforme XDR sur laquelle vous pouvez interconnecter sans contrainte, les solutions de sécurité nécessaires à la protection de votre infrastructure mais aussi automatiser vos actions grâce au SOAR.
Vous pouvez aussi consulter d’autres contenus de notre glossaire :
