美國聯邦調查局(FBI)和網絡安全與基礎設施安全局(CISA)週四發布聯合預警，警告針對公司的語音釣魚或”vishing “攻擊的威脅越來越大。在發布深入研究一個提供服務的犯罪集團後不到24小時，KrebsOnSecurity就發表了一篇文章，該集團提供的服務是人們可以在COVID-19大流行期間僱用他們從遠程工作的員工那裡竊取VPN憑證和其他敏感數據。

“COVID-19大流行導致大規模轉向在家工作，導致企業虛擬專用網絡（VPN）的使用增加，在2020年7月中旬，網絡犯罪分子開始了一場名為vishing的活動–以無差別獲得多家公司員工工具的訪問權–最終目標是將訪問權貨幣化。”

正如周三的報導所指出的那樣，這些機構表示，攻擊者設置的釣魚網站往往連字符、目標公司的名稱和某些詞語都非常具有指向性–如”支持”、”票據”和”員工” 。作案者專注於對目標公司的新員工進行社會工程，並冒充目標公司IT服務台的工作人員。

FBI/CISA的聯合警報稱，vishing團伙還利用社交媒體平台上的公共檔案、招聘人員和營銷工具、公開的背景調查服務以及開源研究，大規模搜刮特定公司的員工檔案。從警報中可以看出。

“作案者先是使用未經歸屬的網絡電話（VoIP）號碼撥打目標員工的個人手機，隨後開始結合其他辦公室和受害者公司員工的虛假號碼。行為人使用社會工程技術，在某些情況下，冒充受害者公司IT服務台的成員，利用他們對員工個人身份信息的了解–包括姓名、職位、在公司的時間和家庭住址–來獲得目標員工的信任。”

“然後，行為人說服目標員工將發送一個新的VPN鏈接，並要求他們登錄，包括任何2FA[雙因素認證]或OTP[一次性密碼]的安全憑據也一併通過這種方法獲取，隨後他們記錄員工提供的信息，並實時使用該員工的賬戶訪問企業工具。”

警報指出，在某些情況下，毫無戒備的員工批准了2FA或OTP提示，或者是意外地批准了。除此之外，攻擊者能夠通過針對員工的SIM卡交換來攔截一次性代碼，這涉及到移動電話公司的社會工程人員，讓他們控制目標的電話號碼。

這些機構表示，騙子利用被盜用的VPN憑證在受害者公司數據庫中挖掘客戶的個人信息，以便在其他攻擊中加以利用。

“然後，行為人利用員工的訪問權限對受害者進行進一步的研究，和/或使用取決於被訪問的平台的不同方法來欺詐性地獲得資金，”警報中寫道。”貨幣化方法根據公司的不同而不同，但具有高度的侵略性，在最初的違規行為和破壞性的兌現計劃之間有一個緊湊的時間表。”

該警告包括一些公司可以實施的建議，以幫助減輕這些vishing攻擊的威脅，包括。

– 限制VPN連接僅用於受管理設備，使用硬件檢查或安裝證書等機制，因此僅靠用戶輸入不足以訪問企業VPN。

– 在適用的情況下，限制VPN的訪問時間，以減輕允許時間以外的訪問。

– 採用域名監控，跟踪企業、品牌域名的創建或變更。

– 積極掃描和監控網絡應用，以防止未經授權的訪問、修改和異常活動。

– 採用最低權限原則，實施軟件限制政策或其他控制措施；監控授權用戶的訪問和使用。

– 考慮對通過公共電話網絡進行的員工與員工之間的通信採用正式的認證程序，並在其中使用第二種因素，以在討論敏感信息之前，對電話進行認證。

– 改進2FA和OTP信息傳遞，以減少員工認證嘗試的混亂。

– 確認網絡鏈接沒有拼寫錯誤或包含錯誤的域名。

– 將正確的企業VPN URL加入書籤，不要僅憑呼入的電話訪問其他URL。

– 對自稱來自合法組織的不明身份者的主動電話、訪問或電子郵件信息要保持警惕。不要提供個人信息或有關您的組織的信息，包括其組織結構、組織結構和組織結構。