Google waarschuwt voor phishing waarbij personeel op privételefoon wordt gebeld

In dit artikel:

Google waarschuwt dat een criminele groep, door onderzoekers aangeduid als UNC6671 en die zich eerder presenteerde als "BlackFile", organisaties doelbewust via telefonische phishing aanvalt. Aanvallers bellen medewerkers op hun privételefoon en doen zich voor als IT- of helpdeskmedewerkers om hen naar frauduleuze inlogpagina’s te leiden die de naam van de organisatie bevatten. De gegevens die slachtoffers invoeren worden realtime doorgestuurd naar de echte inlogpagina, waardoor ook multifactorauthenticatie (MFA)-challenges kunnen worden onderschept of slachtoffers een MFA-push kunnen goedkeuren.

Zodra toegang is verkregen voegen de aanvallers hun eigen apparaat toe als MFA-methode en bewegen ze zich via Single Sign-On lateraal door SaaS-omgevingen, met name Microsoft 365- en Okta-ecosystemen. Vanuit gehackte accounts doorzoeken ze SharePoint, OneDrive en gekoppelde diensten zoals Zendesk en Salesforce op termen als "vertrouwelijk" of social-securitynummers om snel gevoelige data te vinden en vervolgens te exfiltreren en organisaties af te persen.

Google meldt dat de groep recentelijk heeft aangegeven onder de naam "BlackFile" te stoppen en de lekwebsite te hebben verwijderd, maar dat herbenoemen mogelijk is. Als tegenmaatregel adviseert Google het inzetten van phishingbestendige MFA (bijv. hardware security keys of passkeys) en het vergroten van bewustzijn bij medewerkers over telefonische scams, omdat aanvallers bewust privételefoons gebruiken om standaardbeveiliging en supportkanalen te omzeilen.