דיוג מסוג Callback (שיחה חוזרת) התגלה כטכניקה היברידית של הנדסה חברתית המשלבת דיוג (Phishing) ו- Vishing. טכניקת הדיוג המשמשת לגניבת נתונים רגישים או העברת חבילות מזיקות באמצעות דואר אלקטרוני ו-וישינג אשר מפעילה דיוג בטלפון, הינה בשימוש תדיר על ידי גורמי איומים. עם זאת, כאשר נבחנות תקריות אחרונות, Callback Phishing בולטת כשיטת גישה פופולרית יותר היות וקבצים מצורפים זדוניים יכולים להיעצר על ידי פתרונות אבטחת מידע. ב- Callback Phishing, האימייל שנשלח אינו מכיל קובץ זדוני או כתובת אתר זדונית ובמקום אלו ההודעה כוללת מספר טלפון שמועבר לקורבן, אליו הוא מונחה להתקשר כדי לקבל הוראות. יש לציין כי שיטה זו מפחיתה באופן משמעותי את האפשרות של האימייל להיחשב כספאם. הקורבנות עוקבים אחר ההוראות שהם מקבלים בטלפון ובמו ידיהם מורידים ומפעילים את הנוזקה התוקפת אותם.
על פי דו"ח מחקר רשמי, היקף התקפות הדיוג גדל ב- 6%, אך עלייה של יותר מ- 600% נצפתה במתקפות Callback Phishing רק ברבעון השני של 2022. יתרה מכך, על פי דו"ח אחר, התקפות וישינג גדלו ב- 550% משנת 2021 ועד תחילת 2022.
Callback Phishing – דיוג שיחה חוזרת מתחיל בדרך כלל באימייל, כאשר האקרים יכולים לבצע טקטיקות שונות כדי למשוך את תשומת ליבו של הקורבן: נושאים ספציפיים שנחקרו במיוחד עבור הקורבן, או נושאים שימשכו את תשומת ליבו כמו הנחות או תשלום חשבון. הם עשויים גם להתחזות לחברות מהימנות, שותפים וארגונים אחרים כדי להגביר את האמינות שלהם. יתרה מכך, נקודה שיכולה להגביר את רמת הסכנה היא שחברות אבטחה מתחזות לעיתים קרובות בהתקפות אלו, מה שגורם לנטייה נוספת למתן אמון. הם עשויים גם לטעון שהארגון בו עובד הקורבן אישר פעולה זו והוא בידיעת מחלקת ה- IT. חלק מההאקרים הם מומחים להנדסה חברתית וייתכן שהודעות דוא"ל פישינג מעוצבות היטב ואינן מעוררות כל חשד. הם עשויים ליצור תחושת דחיפות ולדחוף את הקורבן לנקוט בפעולה מהירה. כשהקורבן מתקשר למספר הטלפון המופיע בהודעת הדוא"ל, הדבר עלול להוביל אותו להוריד נוזקה או להפנות אותו לאתר מסוכן. אם ההתקפה מצליחה יכולים ההאקרים להתפשט בכל מערכת המחשוב של הקורבן. יתר על כן, הם יכולים להתקין כופרה או לסחוט נתונים למטרות רווח.
בשנים האחרונות, ניהלה קבוצת ההאקרים Trickbot, קמפיין בשם BazarCall להתקנת נוזקה בשם BazarLoader באמצעות דלת אחורית. הם חיברו את הקורבנות שלהם למוקד טלפוני שמספרו הועבר בדוא"ל ולאחר מכן הפנו אותם לאתר זדוני כדי שיורידו נוזקות. קמפיין זה, שמשך תשומת לב מאז מרץ 2021, היה חלוץ במתקפה של ההנדסה החברתית המכונה Callback Phishing – דיוג שיחה חוזרת ומשמש כעת גורמי איומים רבים. למרות שכנופיית הכופרה הפסיקה את פעילותה באופן רשמי ב- 19 במאי 2022, המשיכו חבריה בפעילותם בשמות ומותגים שונים. שלוש קבוצות ממשיכות: Silent Ransom, Quantum ו- Zeon, ירשו שיטות דיוג דומות. SOCRadar הוכיחה שקבוצת הכופרה Quantum יצרה את הגרסאות שלה ל- BazarCall וקראו להן בשם Jormungandr. בנוסף, ידוע שהם מגייסים מומחים להנדסה חברתית לצוותים שלהם. בתקריות האחרונות, שחקני איומים כיוונו ליותר ממאה ארגונים, השיגו גישה ליותר מ- 20 נקודות בעלות פרופיל גבוה רק במחצית הראשונה של 2022 ודרשו מיליונים ככופר. ביולי 2022, התריאה חברת מודיעין סייבר ללקוחותיה על מתקפת דיוג שיחה חוזרת, כאשר לפי הודעה זו, ככל הנראה, קבוצת Quantum ניסתה לבצע קמפיין דיוג שיחה חוזרת על קורבנות על ידי התחזות לארגון אבטחת סייבר. יתר על כן, Silent Ransom Group או Luna Moth ביצעו קמפיינים של דיוג שיחה חוזרת על ידי שליחת מיילים מזויפים להרשמת מנויים תוך התחזות לחברות כמו Zoho, Duolingo ו- Masterclass.
נקודת ההגנה החיונית הראשונה היא זיהוי מהיר של דואר אלקטרוני זדוני ובמידת האפשר מחיקתו מבלי לפתוח אותו. במידה ואין וודאות בלגיטימיות של הדואר הנכנס, יש להעביר אותו לבדיקת מחלקת ה- IT של הארגון או הרשות המתאימה. גם אם לא קיים חשד לאותנטיות של המייל הנכנס, מומלץ מאד לבדוק את התוכן ולהעריך מחדש הודעת דוא"ל המבקשת נקיטת פעולה דחופה. אנו ממליצים בחום לעובדים לקבל הכשרה למודעות סייבר ובנוסף, ארגונים צריכים ליידע את העובדים שלהם אודות Callback Phishing ולזהות נקודות תורפה על ידי ביצוע בדיקות המדמות את המתקפה.
