Исследователи из фирмы по кибербезопасности Trellix следили за сложной фишинговой кампанией, известной как BazarCall, с тех пор, как она впервые привлекла внимание в 2020 году. Жертвы этой кампании в конечном итоге неосознанно заражают свои устройства вредоносными программами или программами-вымогателями по указанию злоумышленника, играющего роль агента службы поддержки клиентов.

Фишинговая атака с обратным вызовом начинается с электронного письма, содержащего поддельный счет за покупку дорогой подписки или другого дорогого товара. Счет-фактура должна выглядеть убедительно, часто включает брендинг от уважаемой компании или платежной системы, такой как PayPal, но просто предназначена для привлечения внимания получателя. Встревоженный неожиданным появлением дорогостоящего счета, получатель может решить позвонить по номеру службы поддержки, указанному в электронном письме, чтобы оспорить списание средств.

К сожалению для получателя электронного письма, звонок по номеру телефона, указанному в электронном письме, - это именно то, что желает злоумышленник. Телефонный номер связывает звонящих напрямую с мошенником, который маскируется под агента службы поддержки. Затем мошенник может использовать различные методы социальной инженерии, чтобы заставить абонентов установить вредоносное ПО в свои системы.

В некоторых случаях мошенники с обратным фишингом сообщают звонящим, что полученные ими счета-фактуры являются спамом и могут указывать на то, что их компьютеры каким-то образом скомпрометированы. В других случаях мошенники запрашивают у звонящих их IP-адреса, а затем сообщают звонящим, что ошибочные счета связаны с покупками, сделанными с другого IP-адреса в подозрительном месте. Независимо от того, какую форму принимает социальная инженерия, мошенник в конечном итоге направляет звонящих на поддельный веб-сайт поддержки, где звонящих просят загрузить и запустить исполняемый файл, который должен каким-то образом помочь решить сфабрикованную проблему.

Запуск этого файла запускает заключительную стадию атаки, на которой в системе жертвы устанавливается вредоносное ПО. Вредоносное ПО может устанавливать дополнительные вредоносные пакеты, шифровать файлы жертвы в рамках атаки программы-вымогателя или помогать мошеннику в совершении какой-либо формы мошенничества с платежами, предоставляя мошеннику удаленный доступ к компьютеру жертвы под видом оказания дальнейшей поддержки.

Первый и главный шаг, который пользователи могут предпринять, чтобы не стать жертвой таких фишинговых атак, - это не звонить по номерам телефонов, указанным в неожиданных счетах. Тем, кто хочет оспорить какое-либо счет с легальной компанией, следует игнорировать любые ссылки или номера телефонов, включенные в счет по электронной почте, и вместо этого перейти непосредственно на официальный сайт компании, чтобы найти номер службы поддержки или чат. Пользователи также могут проверить свои банковские счета и кредитные карты, чтобы увидеть, действительно ли они пострадали от какого-либо неожиданного платежа или нет. Нет необходимости оспаривать ошибочный платеж, если он изначально фальшивый.

Если по какой-то причине пользователи разговаривают по телефону с агентом службы поддержки, который дает им указание загрузить и открыть или выполнить какой-либо файл, пользователи не должны стремиться подчиниться. Вместо этого им следует задавать уточняющие вопросы о цели и функции файла. Пользователи могут даже повесить трубку и поискать в Интернете или попросить совета у друзей и членов семьи, обладающих большими техническими знаниями. 

Общий вывод здесь заключается в том, что пользователи всегда должны с осторожностью запускать файл или устанавливать программное обеспечение на свои устройства по указанию службы поддержки клиентов. Киберпреступники часто используют срочность в качестве тактики социальной инженерии, но пользователи должны делать все возможное, чтобы не поддаваться давлению.