Callback phishing
Le callback phishing est une méthode de spearphishing, utilisée notamment par les acteurs rançongiciels comme vecteur d'accès initial, qui consiste à usurper l'identité de plateformes ou d'entreprises légitimes pour inciter la victime à rappeler un numéro contrôlé par l'attaquant.
En pratique, cela implique d'usurper l'identité de plateformes ou d'entreprises légitimes en envoyant des e-mails affirmant que la victime a été ou sera facturée pour un service. Elle incite ensuite les victimes à appeler un numéro de téléphone indiqué pour obtenir des clarifications.
En appelant ce numéro, la victime est dirigée vers un service d'appel créé pour l'occasion par les auteurs de la menace. Par téléphone, un « représentant du service client » cherche alors à obtenir un accès à distance et à distribuer des malwares et/ou voler des données du réseau de la victime.
Cette méthode, également connue sous le nom de BazarCall, est apparue pour la première fois début 2021. Elle a ensuite été utilisée par des groupes de ransomware tels que Ryuk, puis Conti, suivi de Luna Moth (alias Silent Ransom alias TG2729), Quantum et Roy/Zeon (alias Royal).
L'équipe CTI de Sekoia.io suit activement les groupes utilisant cette technique et publie régulièrement des analyses sur l'évolution du paysage des ransomwares.
