Változó telefonszámokat használnak
Mindennap egy újabb küzdelem az IT biztonságiak és a cyber bűnözők között. Korábbi anyagainkban még a megtévesztő emailekről írtunk, mára azonosították a BazarCall nevű kártékony programot, amely egy különösen segítőkész ügyfélszolgálat közreműködésével kerül fel az áldozatok számítógépeire – derül ki a felhívásból.
Az korántsem szokatlan jelenség, hogy egy vírusokra épített támadás különféle adathalász levelekkel veszi kezdetét. Ilyenkor az elkövetők hamis, megtévesztő e-mailek segítségével próbálják elnyerni a felhasználók bizalmát, és felkelteni a kíváncsiságukat. A BazarCall kódnevű károkozó terjesztői is bevetették ezt a trükköt, azonban a módszert egyúttal tovább is fejlesztették. Egy újabb csavarral még megtévesztőbbé tették a támadásaikat. Az új módszer lényege, hogy a kiszemelt felhasználó egy olyan elektronikus levelet kap, amelyben közlik vele, hogy egy korábbi szolgáltatáshoz tartozó próbaidőszak lejár, és ha nem mondja le az előfizetését, akkor 90 dollárt fognak levonni a bankszámlájáról. A csalók nem igazán közlékenyek azzal kapcsolatban, hogy milyen szolgáltatásról van szó, csak sejtelmes utalásokat tesznek. Ellenben megadnak egy telefonszámot, amelyen a szolgáltatás lemondható.
Amennyiben a felhasználó felhívja a megadott telefonszámot, akkor egy segítőkész, magát ügyfélszolgálati munkatársnak kiadó személy veszi fel a telefont. Elkér egy azonosítót, amit a kiküldött e-mail tartalmaz. Amennyiben ezt érvényesnek találja, akkor a felhasználót egy weboldal megnyitására kéri, ahonnan egy Excel fájl töltődik le. A felhasználónak ezt az állományt kell megnyitnia, majd engedélyeznie kell a makrók futtatását, legalábbis a mondvacsinált ügyfélszolgálatos szerint. Amennyiben ekkor vírusriasztás történik, akkor a csaló még abban is segít, hogy miként kell kiiktatni a víruskeresőt.
Ha a felhasználó nem fog gyanút, és vakon követi az utasításokat, akkor a számítógépére rákerül a BazarCall károkozó, amely további nemkívánatos programokat tölt le. Ekkor felkerülhet a PC-re egyebek mellett a TrickBot trójai, valamint a Ryuk és a Conti zsarolóvírus is. Ezek révén pedig komolyabb károkozások vehetik kezdetüket.
Randy Pargman, a szóban forgó támadásokat is vizsgáló Binary Defense alelnöke elmondta: egyedi ügyfélazonosítóra azért van szükség, hogy a csaló meggyőződhessen arról, hogy valóban egy olyan személlyel beszél, aki kapott az adathalász levélből, és nem mondjuk egy hatósági személy. Amennyiben a bediktált azonosító nem megfelelő, akkor a csaló csak annyit közöl az érintettel, hogy az előfizetést megszüntette, nincs további teendő.
Az ilyen jellegű csalások ellen a legjobb védelmet a biztonságtudatosság jelenti. Ismeretlenektől vagy ismeretlen cégektől érkező küldeményekkel mindig különösen óvatosan kell bánni, és körültekintően kell eljárni azokkal a levelekkel, üzenetekkel, amelyek valamilyen fájl, link megnyitására vagy akár telefonhívás kezdeményezésére ösztökélnek – olvasható a közleményben.
Cash/fotó: Facebook