“COVID-19大流行导致大规模转向在家工作，导致企业虚拟专用 *** （VPN）的使用增加，在2020年7月中旬， *** 犯罪分子开始了一场名为vishing的活动–以无差别获得多家公司员工工具的访问权–最终目标是将访问权货币化。”

正如周三的报道所指出的那样，这些机构表示，攻击者设置的钓鱼网站往往连字符、目标公司的名称和某些词语都非常具有指向性–如 “支持”、”票据 “和 “员工”。作案者专注于对目标公司的新员工进行社会工程，并冒充目标公司IT服务台的工作人员。

FBI/CISA的联合警报称，vishing团伙还利用社交媒体平台上的公共档案、 *** 人员和营销工具、公开的背景调查服务以及开源研究，大规模搜刮特定公司的员工档案。从警报中可以看出。

“作案者先是使用未经归属的 *** *** （VoIP）号码 拨打目标员工的个人手机，随后开始结合其他办公室和受害者公司员工的虚假号码。行为人使用社会工程技术，在某些情况下，冒充受害者公司IT服务台的成员，利用他们对员工个人身份信息的了解–包括姓名、职位、在公司的时间和家庭住址–来获得目标员工的信任。”

“然后，行为人说服目标员工将发送一个新的VPN链接，并要求他们登录，包括任何2FA[双因素认证]或OTP[一次性密码]的安全凭据也一并通过这种 *** 获取，随后他们记录员工提供的信息，并实时使用该员工的账户访问企业工具。”

警报指出，在某些情况下，毫无戒备的员工批准了2FA或OTP提示，或者是意外地批准了。除此之外，攻击者能够通过针对员工的SIM卡交换来拦截一次性代码，这涉及到移动 *** 公司的社会工程人员，让他们控制目标的 *** 号码。

这些机构表示，骗子利用被盗用的VPN凭证在受害者公司数据库中挖掘客户的个人信息，以便在其他攻击中加以利用。

“然后，行为人利用员工的访问权限对受害者进行进一步的研究，和/或使用取决于被访问的平台的不同 *** 来欺诈性地获得资金，”警报中写道。”货币化 *** 根据公司的不同而不同，但具有高度的侵略性，在最初的违规行为和破坏性的兑现计划之间有一个紧凑的时间表。”

该警告包括一些公司可以实施的建议，以帮助减轻这些vishing攻击的威胁，包括。

– 限制VPN连接仅用于受管理设备，使用硬件检查或安装证书等机制，因此仅靠用户输入不足以访问企业VPN。

– 在适用的情况下，限制VPN的访问时间，以减轻允许时间以外的访问。

– 采用域名监控，跟踪企业、品牌域名的创建或变更。

– 积极扫描和监控 *** 应用，以防止未经授权的访问、修改和异常活动。

– 采用更低权限原则，实施软件限制政策或其他控制措施；监控授权用户的访问和使用。

– 考虑对通过公共 *** *** 进行的员工与员工之间的通信采用正式的认证程序，并在其中使用第二种因素，以在讨论敏感信息之前，对 *** 进行认证。

– 改进2FA和OTP信息传递，以减少员工认证尝试的混乱。

– 确认 *** 链接没有拼写错误或包含错误的域名。

– 将正确的企业VPN URL加入书签，不要仅凭呼入的 *** 访问其他URL。

– 对自称来自合法组织的不明身份者的主动 *** 、访问或电子邮件信息要保持警惕。不要提供个人信息或有关您的组织的信息，包括其组织结构、组织结构和组织结构。