Google meldt social engineering-aanvallen op helpdeskmedewerkers via live chat

In dit artikel:

Google waarschuwt voor een gerichte social engineering-campagne (door het bedrijf aangeduid als UNC6783) waarbij aanvallers via livechat helpdeskmedewerkers van organisaties en Business Process Outsourcers (BPO’s) benaderen. Via nagemaakte Okta-inlogpagina’s en valse links proberen ze medewerkers inloggegevens te ontfutselen voor systemen zoals Zendesk, of hen te verleiden schadelijke “updates” te installeren die malware plaatsen. Met een gebruikte phishingkit kunnen de aanvallers zelfs multifactorauthenticatie omzeilen door inhoud uit het klembord te stelen en zo hun eigen apparaten aan te melden om toegang te behouden.

Doel is het stelen van gevoelige klant- en bedrijfsdata uit supportomgevingen, die vervolgens gebruikt kan worden voor afpersing of verdere inbreuk. Google meldt dat meerdere ‘high-value’ organisaties in diverse sectoren zijn getroffen. Als voorbeelden worden BPO’s genoemd omdat zij toegang hebben tot veel klanten en systemen.

Google adviseert onder meer het inzetten van phishingbestendige MFA (bijv. FIDO-hardwaretokens), strikte monitoring van livechatverkeer, medewerkers specifiek voorlichten over deze tactiek en alert zijn op chats die externe links vragen. De melding volgt op soortgelijke incidenten waarbij via Zendesk massale datadiefstallen, zoals bij Crunchyroll, werden ontdekt.