Cybersecurity -onderzoekers vestigen de aandacht op phishing -campagnes die zich voordoen als populaire merken en trucdoelen om telefoonnummers te bellen die door bedreigingsacteurs worden beheerd.
“Een aanzienlijk deel van de e-mailbedreigingen met PDF-payloads overtuigen slachtoffers om tegenstanders-gecontroleerde telefoonnummers te bellen, met een andere populaire social engineeringtechniek die bekend staat als telefoongerichte aanvalsaflevering (TOAD), ook bekend als callback phishing,” zei Cisco Talos-onderzoeker Omid Mirzaei omid Mirzaei omid Mirzaei omid Mirzaei omid Mirzaei omid Mirzaei omid Mirzaei omid Mirzaei omid Mirzaei omid Mirzaei omid Mirzaei, zei in een rapport met het hackersnieuws.
Een analyse van phishing -e -mails met PDF -bijlagen tussen 5 mei en 5 juni 2025, heeft Microsoft en Docusign aangetoond als de meest aangeboden merken. Nortonlifelock, PayPal en Geek Squad behoren tot de meest implementeerde merken in Toad -e -mails met PDF -bijlagen.
De activiteit maakt deel uit van bredere phishing -aanvallen die proberen te benutten om de vertrouwensmensen te benutten die mensen hebben met populaire merken om kwaadaardige acties te initiëren. Deze berichten bevatten doorgaans PDF -bijlagen met legitieme merken zoals Adobe en Microsoft om kwaadaardige QR -codes te scannen die wijzen op nep Microsoft -inlogpagina’s of klikken op links die gebruikers omleiden naar phishing -pagina’s die poseren als services zoals Dropbox.
QR -code phishing -e -mails met PDF -payloads zijn ook gevonden om PDF -annotaties te benutten om de URL’s in een plakkerige noot, commentaar of vormvelden binnen een PDF -bijlage in te sluiten, terwijl de QR -codes worden gekoppeld aan een authentieke webpagina om de indruk te geven om de indruk te geven.
In op pad gebaseerde aanvallen worden slachtoffers overgehaald om een telefoonnummer te bellen in een vermeende poging om een probleem op te lossen of een transactie te bevestigen. Tijdens het telefoontje vermomt de aanvaller als een legitieme klantvertegenwoordiger en misleidt het slachtoffer om gevoelige informatie bekend te maken of malware op hun apparaten te installeren.
De meeste padcampagnes zijn afhankelijk van de illusie van urgentie, maar hun effectiviteit hangt vaak af van hoe overtuigend aanvallers echte ondersteuningsworkflows imiteren – met behulp van script callcenter tactieken, muziek houden en zelfs vervalste beller -ID’s.
Deze techniek is een populaire methode onder bedreigingsacteurs om banktrojanen op Android -apparaten en externe toegangsprogramma’s op slachtoffermachines te installeren om aanhoudende toegang te krijgen. In mei 2025 waarschuwde het US Federal Bureau of Investigation (FBI) voor dergelijke aanvallen die werden gepleegd door een financieel gemotiveerde groep genaamd Luna Moth om doelnetwerken te doorbreken door te poseren als IT -personeel.
“Aanvallers gebruiken directe spraakcommunicatie om het vertrouwen van het slachtoffer in telefoongesprekken te exploiteren en de perceptie dat telefooncommunicatie een veilige manier is om te communiceren met een organisatie,” zei Mirzaei. “Bovendien stelt de live interactie tijdens een telefoongesprek aanvallers in staat om de emoties en antwoorden van het slachtoffer te manipuleren door tactieken van social engineering te gebruiken.”
Cisco Talos zei dat de meeste bedreigingsacteurs stemt over internetprotocol (VOIP) nummers die anoniem blijven en het moeilijker maken om te traceren, met sommige cijfers achtereenvolgens hergebruikt voor maar liefst vier dagen, waardoor de aanvallers kunnen worden afgezet met meerdere fasen sociale engineeringaanvallen met hetzelfde aantal.
“Merk imitatie is een van de meest populaire technieken voor social engineering en wordt continu gebruikt door aanvallers in verschillende soorten e -mailbedreigingen,” zei het bedrijf. “Daarom speelt een merkimonatiedetectie -engine een cruciale rol bij het verdedigen tegen cyberaanvallen.”
In de afgelopen maanden hebben phishing -campagnes ook gekapitaliseerd op een legitieme functie in Microsoft 365 (M365) genaamd Direct Send to Spoof interne gebruikers en phishing -e -mails afleveren zonder dat een account nodig is. De nieuwe methode is gebruikt om zich sinds mei 2025, per Varonis te richten op meer dan 70 organisaties.
Deze gespoofde berichten lijken niet alleen afkomstig te zijn van binnen de slachtofferorganisatie, ze maken ook gebruik van het feit dat Smart Host -adressen een voorspelbaar patroon volgen (“
Deze tactiek deelt overeenkomsten met Vishing, Tech Support Scams en Business E -mailcompromis (BEC), maar verschilt in leveringsvector en persistentie. Terwijl sommige aanvallers slachtoffers duwen om externe toegangssoftware zoals AnyDesk of TeamViewer te downloaden, routeren anderen ze via nep -betalingsportals of doen ze zich voor de factureringsafdelingen om creditcardinformatie te oogsten – waardoor het aanvaloppervlak verder gaat dan alleen diefstal van de referenties.
In één phishing -e -mail verzonden op 17 juni 2025, leek de berichtorganisatie op een voicemailmelding en omvatte een PDF -bijlage die een QR -code bevatte die de ontvangers naar een Microsoft 365 -inlogpagina regisseerde.
“In veel van hun initiële toegangspogingen gebruikte de dreigingsacteur M365 Direct Send -functionaliteit om zich op een individuele organisatie te richten met phishing -berichten die onderworpen waren aan minder controle in vergelijking met standaard inkomende e -mail,” zei beveiligingsonderzoeker Tom Barnea. “Deze eenvoud zorgt ervoor dat direct een aantrekkelijke en lage effort vector voor phishing-campagnes verzenden.”
De openbaarmaking komt wanneer nieuw onderzoek van NetCraft bleek dat het vragen van grote taalmodellen (LLM’s) waar inloggen op 50 verschillende merken in verschillende sectoren zoals Finance, Retail, Tech en Utilities, niet -gerelateerde hostnamen suggereerden als antwoorden die in de eerste plaats niet eigendom waren van de merken.
“Tweederde van die tijd heeft het model de juiste URL geretourneerd,” zei het bedrijf. “Maar in het resterende derde zijn de resultaten zo uit elkaar gegaan: bijna 30% van de domeinen waren niet geregistreerd, geparkeerd of anderszins inactief, waardoor ze open waren voor overname. Nog eens 5% wees gebruikers aan volledig niet -gerelateerde bedrijven.”
Dit betekent ook dat gebruikers waarschijnlijk naar een nepwebsite kunnen worden gestuurd door alleen door een kunstmatige intelligentie (AI) chatbot te vragen waar ze zich moeten aanmelden, waardoor de deur wordt geopend voor merkinvoegingen en phishing -aanvallen wanneer dreigingsacteurs controle over deze niet -geregistreerde of niet -gerelateerde domeinen claimen.
Met bedreigingsacteurs die al AI-aangedreven tools gebruiken om phishing-pagina’s op schaal te maken, markeert de nieuwste ontwikkeling een nieuwe wending waarbij cybercriminelen op zoek zijn naar een reactie van een LLM door kwaadaardige URL’s op te richten als reacties op vragen.
Netcraft zei dat het ook pogingen heeft waargenomen om AI-coderende assistenten zoals Cursor te vergiftigen door nep-API’s te publiceren met GitHub die functionaliteit herbergt om transacties op de Solana-blockchain te routeren naar een aan aanvallers gecontroleerde portemonnee.
“De aanvaller publiceerde niet alleen de code,” zei beveiligingsonderzoeker Bilaal Rashid. “Ze lanceerden blog-tutorials, forum Q & AS en tientallen GitHub-repo’s om het te promoten. Meerdere nep GitHub-accounts deelden een project met de naam Moonshot-Volume-Bot, geplaatst over accounts met rijk BIOS, profielafbeeldingen, sociale media-accounts en geloofwaardige coderingsactiviteit.
De ontwikkelingen volgen ook gezamenlijke inspanningen van de kant van dreigingsactoren om gerenommeerde websites (bijv. Gov of .edu -domeinen) te injecteren met JavaScript of HTML die is ontworpen om zoekmachines te beïnvloeden om prioriteit te geven aan phishing -sites in zoekresultaten. Dit wordt bereikt door een illegale marktplaats genaamd Hacklink.
De service “stelt cybercriminelen in staat om toegang te krijgen tot duizenden gecompromitteerde websites en kwaadwillende code te injecteren die is ontworpen om zoekmachine -algoritmen te manipuleren,” zei beveiligingsonderzoeker Andrew Sebborn. “Scammers gebruiken HackLink -besturingspanelen om links naar phishing of illegale websites in de broncode van legitieme maar gecompromitteerde domeinen in te voegen.”
Deze uitgaande links worden gekoppeld aan specifieke zoekwoorden, zodat de gehackte websites worden geserveerd in zoekresultaten wanneer gebruikers naar relevante termen zoeken. Tot overmaat van ramp kunnen de actoren de tekst wijzigen die in het zoekresultaat verschijnt om aan hun behoeften te voldoen zonder de controle over de site in kwestie te hoeven nemen, die van invloed zijn op merkintegriteit en gebruikersvertrouwen.
