Зворотний фішинг (TOAD): без посилань, але повна небезпека

Ви отримуєте лист від “Norton LifeLock”, що підтверджує щорічне продовження підписки на $499,99. Ви не купували Norton LifeLock. Немає посилання для натискання, немає вкладення для відкриття. Лише номер телефону для дзвінка, якщо “ця оплата була зроблена помилково”.

Тож ви дзвоните. Людина, яка відповідає, звучить професійно, терпляче і щиро бажає допомогти. Вас просять відвідати сайт і завантажити “інструмент скасування”, щоб вони могли обробити повернення коштів. Те, що ви насправді завантажуєте, це програма віддаленого доступу. Протягом кількох хвилин людина на тому кінці контролює вашу машину.

Жодного шкідливого посилання не натиснуто. Жодне вкладення не відкрито. Ваша безпека електронної пошти нічого не спіймала, бо нічого ловити не було.

Це зворотний фішинг, і це один з найшвидше зростаючих типів атак у корпоративних середовищах.

Зворотний фішинг (callback phishing) це техніка фішингу, де сам лист не містить шкідливого навантаження. Жодних посилань, жодних вкладень, жодних макросів. Натомість він включає номер телефону та переконливу причину для дзвінка. Атака відбувається повністю по телефону.

Індустрія безпеки називає це TOAD-атакою: Telephone-Oriented Attack Delivery (доставка атаки, орієнтована на телефон). Термін був створений для опису гібридної природи техніки. Вона починається у вашій поштовій скриньці, але завершується по телефону, поєднуючи охоплення електронного фішингу з переконливою силою живої соціальної інженерії.

Дані про загрози від Proofpoint за 2023 рік повідомили, що TOAD-атаки досягли піку у 13 мільйонів повідомлень на місяць. Кампанії BazaCall, що популяризували цю техніку у 2021 році, відтоді породили десятки копіювальних операцій, і модель була прийнята партнерами ransomware-груп, групами компрометації бізнес-пошти та державними акторами.

Традиційна безпека електронної пошти працює, скануючи на відомі загрози: шкідливі URL, небезпечні вкладення, підозрілі домени відправників та шкідливе ПЗ, що відповідає сигнатурам. Зворотний фішинг не містить нічого з цього.

Лист це текст. Простий, чистий текст з номером телефону.

Немає URL для перевірки веб-проксі. Немає вкладення для детонації в пісочниці. Немає кодованого навантаження для позначення патерн-матчером. Лист проходить перевірки SPF, DKIM та DMARC, бо зловмисник часто надсилає його з легітимного сервісу масових розсилок.

Це не недолік ваших інструментів безпеки. Це обмеження того, що автоматизовані системи можуть виявити. Шкідливий намір живе в телефонному дзвінку, а не в листі. А ваш поштовий шлюз не може слухати телефонні дзвінки.

Деякі просунуті платформи безпеки електронної пошти почали позначати листи, що містять номери телефонів, але не мають інших посилань, як потенційно підозрілі. Але ці виявлення створюють високий рівень хибних спрацювань, оскільки багато легітимних бізнес-листів відповідають тому самому патерну. Ваш IT-відділ надсилає інструкції зі скидання пароля. Ваш страховик надсилає оновлення поліса. Ваш банк надсилає сповіщення про шахрайство. Все з номерами телефонів, все без посилань.

Повідомлення зловмисника виглядає ідентично цим легітимним комунікаціям. В цьому і суть.

Атака слідує послідовному триетапному патерну. Розуміння кожного етапу допомагає розпізнати техніку до того, як вона досягне небезпечної частини.

Лист імітує відому марку або сервіс. Поширені претексти включають:

• Продовження підписки. “Ваша щорічна підписка на [Norton/McAfee/Geek Squad] продовжена за $349,99. Зателефонуйте для скасування.”
• Неавторизоване списання. “Платіж на $499,99 оброблено з вашого рахунку. Якщо ви цього не авторизували, негайно зателефонуйте.”
• Блокування акаунту. “Ваш акаунт [Microsoft 365/Adobe/Amazon] буде деактивовано через 48 годин. Зателефонуйте для верифікації особи.”
• Повідомлення IT-відділу / шахрайство з техпідтримкою. “Оновлення безпеки потребує ручної верифікації. Зв’яжіться зі службою підтримки за номером нижче.”

Суми в доларах вибираються ретельно. Достатньо високі, щоб викликати занепокоєння, але не настільки високі, щоб здаватися неправдоподібними. $299-$499 це ідеальний діапазон.

Зверніть увагу, чого не вистачає: немає посилання, що пропонує просте цифрове вирішення. Номер телефону представлений як єдиний спосіб вирішити проблему. Це змушує ціль перейти на канал, якому зловмисник надає перевагу, де соціальна інженерія працює найкраще.

Коли ціль дзвонить, зловмисник запускає відшліфований скрипт. Вони це відпрацювали. Багато TOAD-операцій використовують справжні кол-центри з музикою очікування, автоматичними привітаннями та кількома “агентами” для створення ілюзії реальної операції обслуговування клієнтів.

Абоненту кажуть, що списання дійсно було помилкою і що вони обробляють повернення. Але спочатку “агенту” потрібно верифікувати акаунт або “обробити скасування” на комп’ютері цілі.

Техніки маніпуляції, що використовуються під час дзвінка, запозичені безпосередньо з підручників вішингу:

• Заскриптована емпатія. “Я повністю розумію ваше розчарування. Дозвольте виправити це прямо зараз.”
• Хибне заспокоєння. “Це рутинний процес. Тисячі клієнтів проходять через це щодня.”
• Контрольована терміновість. “Я можу скасувати це прямо зараз, але якщо ми не обробимо це сьогодні, списання стає постійним.”
• Технічний жаргон. Агент використовує терміни на кшталт “верифікація бек-енду” та “протокол безпечного скасування”, щоб процес звучав легітимно.

Абонента направляють завантажити програмне забезпечення, яке дає зловмиснику віддалений доступ до комп’ютера. Поширені інструменти включають AnyDesk, TeamViewer та ScreenConnect, всі легітимні програми віддаленого робочого столу, які антивірус не позначить.

Після з’єднання зловмисник діє швидко. Поширені цілі включають:

• Встановлення стійкого шкідливого ПЗ, що переживає перезавантаження
• Збір облікових даних з браузерів та менеджерів паролів
• Розгортання ransomware по мережі
• Крадіжку документів, фінансових даних або інтелектуальної власності
• Створення бекдору для майбутнього доступу

У деяких варіантах зловмисник пропускає завантаження ПЗ повністю. Натомість він проводить ціль через передачу облікових даних для входу, кодів MFA або банківської інформації безпосередньо по телефону.

Зворотний фішинг цілить у всіх, але деякі ролі стикаються з вищим ризиком.

Фінансові та бухгалтерські команди отримують основну частину фальшивих рахунків та підтверджень списань. Ці команди обробляють реальні рахунки щодня, тож шахрайський не одразу реєструється як незвичний. Зловмиснику потрібно лише, щоб претекст відчувався достатньо рутинним, щоб хтось зателефонував замість видалення.

Адміністративні помічники та офіс-менеджери стають мішенями, бо вони ведуть комунікацію з постачальниками та привчені швидко вирішувати питання з оплатою. Лист про “неавторизоване списання” з корпоративної картки саме те, що вони б перевірили.

Співробітники IT-підтримки стають мішенями зворотних TOAD-атак, де зловмисник дзвонить у підтримку, видаючи себе за співробітника. Але вони також стають жертвами через листи, що імітують постачальників інструментів безпеки з претекстами “продовження ліцензії”.

Нові співробітники особливо вразливі, бо ще не вивчили, яких постачальників використовує їхня компанія, які сервіси легітимні та які патерни оплати нормальні. Вони також менш схильні ставити під сумнів лист, коли ще будують організаційний контекст.

Хороша новина: листи зворотного фішингу мають розпізнавані патерни, якщо ви знаєте, на що дивитися.

Рахунок або списання, якого ви не очікували. Це найпоширеніший тригер. Якщо ви не купували сервіс, за нього не списують кошти. Компанії не виставляють рахунки незнайомцям випадково.

Номер телефону як єдиний варіант відповіді. Легітимні компанії завжди надають кілька способів керувати акаунтом: сайт, додаток, підтримка електронною поштою, чат. Лист, що пропонує лише номер телефону для вирішення, підозрілий за дизайном.

Відсутність конкретних деталей акаунту. Листи зворотного фішингу рідко включають ваше справжнє ім’я, номер акаунту чи історію транзакцій. Вони використовують загальну мову, бо той самий лист надсилається тисячам людей.

Імітація бренду без інфраструктури бренду. Лист може використовувати логотип компанії, але адреса відправника не відповідає їхньому фактичному домену. Номер телефону не той, що вказаний на справжньому сайті компанії.

Терміновість навколо дедлайну. “Зателефонуйте протягом 24 годин, або списання стане постійним.” Реальні компанії не встановлюють довільних дедлайнів для оскарження списань. Закони про захист споживачів гарантують вікна оскарження, виміряні тижнями та місяцями, а не годинами.

Не дзвоніть за номером у листі. Це повинно бути реакцією за замовчуванням на будь-яку незапрошену комунікацію, що містить номер телефону та просить вас діяти терміново. Якщо ви вважаєте, що списання може бути реальним, знайдіть фактичний номер телефону компанії на їхньому офіційному сайті та зателефонуйте туди.

Перевірте свої справжні акаунти. Увійдіть на сайт реального сервісу напряму (не через посилання в листі). Якщо на вашому акаунті немає списання, лист шахрайський. Видаліть і рухайтесь далі.

Повідомте свою команду безпеки. Переправте лист на адресу звітування про фішинг вашої компанії. Навіть якщо ви одразу розпізнали його, ваша команда безпеки повинна знати, що такі листи потрапляють у поштові скриньки. Їм може знадобитися попередити інших або скоригувати поштові фільтри.

Не взаємодійте взагалі. Дзвонити, щоб “витратити час шахрая” або “подивитися, що буде”, не безпечно. Ви підтверджуєте, що ваш номер телефону працює і що ви реагуєте на такі листи. Деякі TOAD-операції записують дзвінки та використовують зразки голосу для генерації deepfake.

Наша вправа зі зворотного фішингу проводить через ідентифікацію цих листів у реалістичній симуляції, включаючи точки прийняття рішень, в яких більшість людей помиляються.

Ці дві атаки цілять у різні когнітивні слабкості.

Стандартний фішинг це гра на обсяги. Надішліть мільйон листів, отримайте дрібний відсоток натискань. Зворотний фішинг обмінює обсяг на глибину. Менше цілей, але кожна отримує більш переконливу, персоналізовану атаку.

Це розрізнення важливе для навчання. Співробітники, які навчилися виявляти підозрілі посилання, все ще можуть зателефонувати за номером у фальшивому рахунку. Навички виявлення відрізняються, бо вектор атаки інший.

TOAD-атаки стали переважним методом початкового доступу для ransomware-груп. Кампанії BazaCall, які проводили актори загроз за TrickBot та Conti, започаткували модель: надішліть лист, відповідайте на дзвінок, проведіть ціль через встановлення трояна, потім розгорніть ransomware після проникнення в мережу.

Причина, чому ransomware-групи надають перевагу цій техніці, проста. Шкідливе ПЗ, доставлене електронною поштою, стикається з дедалі ефективнішими автоматизованими захистами. Виявлення на ендпоінтах ловить відомі сигнатури шкідливого ПЗ. Пісочниці детонують підозрілі вкладення. URL-фільтрація блокує відомі шкідливі домени.

Зворотний фішинг обходить все це. Ціль добровільно завантажує легітимний інструмент віддаленого доступу. Жодної сигнатури для відповідності. Жодної пісочниці для спрацювання. Зловмисник отримує практичний доступ до клавіатури без спрацювання жодного автоматизованого сповіщення.

Звідти план дій ransomware стандартний. Розвідка, збір облікових даних, латеральне переміщення, ексфільтрація даних та шифрування. Різниця лише в тому, як вони проникли.

Більшість програм обізнаності з безпеки зосереджені переважно на фішингу з посиланнями. Співробітники вчаться наводити курсор на URL, перевіряти адреси відправників та уникати натискання підозрілих вкладень. Це цінні навички, але вони не готують нікого до атаки, яка не містить жодного з цих елементів.

Навчання зі зворотного фішингу повинно адресувати конкретні патерни цього типу атаки.

Навчіть тривожній ознаці “без посилань”. Лист про фінансову транзакцію, що надає лише номер телефону, підозрілий саме тому, що уникає цифрових каналів, де працюють інструменти безпеки. Зробіть співробітників свідомими цієї відсутності.

Практикуйте скептицизм по телефону. Те саме критичне мислення, яке люди застосовують до листів, потрібно поширити на телефонні розмови. Те, що хтось звучить професійно та використовує назву вашої компанії, не означає, що вони легітимні. Наша вправа з обізнаності щодо вішингу охоплює ці техніки соціальної інженерії по телефону.

Підкріплюйте звичку “перевірити самостійно”. Якщо лист згадує списання, знайдіть фактичний номер телефону компанії самостійно. Якщо лист стверджує, що від вашого IT-відділу, зателефонуйте на підтримку за номером, який ви вже маєте. Ніколи не використовуйте контактну інформацію, надану в незапрошеному повідомленні.

Включіть зворотний фішинг у ротацію вправ. Співробітники повинні зустрічати претексти у стилі TOAD на навчанні, а не лише традиційний фішинг з посиланнями. Вправа зі зворотного фішингу симулює реалістичний сценарій з фальшивим рахунком, щоб співробітники могли попрактикуватися у виявленні та реагуванні до того, як зіткнуться з реальним.

Відчуйте атаку зворотного фішингу без наслідків. Спробуйте нашу безкоштовну вправу зі зворотного фішингу і попрактикуйтеся в ідентифікації TOAD-листів до того, як пролунає телефон. Також перегляньте наш повний каталог навчання з кібербезпеки для вправ з вішингу, соціальної інженерії та виявлення фішингу.