Nowe techniki phishingowe, na które należy zwrócić uwagę: Vishing i Smishing

Reklama

Dane osobowe stały się jedną z najcenniejszych i najbardziej poszukiwanych walut. Zajmujemy się tym i handlujemy nimi bez zastanowienia, każdego dnia, otwierając siebie i nasze wewnętrzne sanktuaria danych dla potencjalnych napastników, którzy wykorzystaliby te informacje przeciwko nam. Wykrywanie prób wyłudzenia informacji stało się de rigueur dla większości użytkowników Internetu. Jeśli kiedykolwiek zarejestrowałeś się w czegokolwiek online, istnieje duże prawdopodobieństwo, że Twoje imię i nazwisko, adres domowy, adres e-mail i numer telefonu również zmieniły właściciela. Uzbrojeni w to, oszuści mogą próbować cię wykorzystać.

Lubimy myśleć, że jesteśmy zbyt sprytni, aby dać się zwieść oczywistym oszustwom. Nasza wiedza na temat tego, jak często są wyłudzane informacje phishingowe, czyni nas lepszymi od starszej pani Betel przy drodze, z którego nie można było dostrzec „Nigeryjskiej księżniczki” próbna faktura PayPal Jak rozpoznać wiadomość e-mail wyłudzającą informacjeZłapanie wiadomości phishingowej jest trudne! Oszuści udają PayPal lub Amazon, próbując ukraść hasło i dane karty kredytowej, jeśli ich oszustwo jest prawie idealne. Pokazujemy, jak rozpoznać oszustwo.

Czytaj więcej . To może być nawet trochę prawda. Ale oszuści nie odpoczywają i jak widzieliśmy wraz ze wzrostem Vishing i Smishing exploity, chętnie wykorzystają nowe wektory ataku, aby wykorzystać twoje zaufanie.

Na co powinieneś uważać? Szybkie porady i fakty, które pomogą uniknąć oszustw typu vishing i smishing Czytaj więcej Jak poznasz próbę prześladowania lub oszustwa, kiedy nadejdzie? I czy prawdopodobnie będziesz celem?

Spójrzmy.

Jakie są te nowe techniki?

Próby wyłudzania informacji zwykle odbywają się za pośrednictwem poczty elektronicznej lub wiadomości błyskawicznych. Ofiara otrzymuje wiadomość e-mail lub wiadomość błyskawiczną ze sfałszowanym polem nadawcy, zawierającą wiadomość wymagającą natychmiastowej odpowiedzi. Fałszywy e-mail lub wiadomość błyskawiczna zawiera link przekierowujący ofiarę na fałszywą stronę internetową, na której zwykle wprowadź dane osobowe, takie jak hasło, dane logowania do pracy lub inne dane identyfikacyjne Informacja.

Podczas phishing istniał na długo przed Internetem Czym dokładnie jest phishing i jakich technik używają oszuści?Sam nigdy nie byłem fanem połowów. Wynika to głównie z wczesnej wyprawy, kiedy mój kuzyn zdołał złapać dwie ryby, podczas gdy ja złapałem zip. Podobnie jak w prawdziwym rybołówstwie, wyłudzanie informacji nie jest ... Czytaj więcej , nasza zdolność do interakcji z mediami społecznościowymi, łączenia się z ludźmi za pośrednictwem poczty e-mail i ogólnie zaufania systemy online, których nie do końca rozumiemy (w tym bankowość), przygotowały złoty okres na niedoszłe oszuści. Ich dotyk Midas kontynuuje „wprowadzenie” exploity vishing i smishing Gone Phishing: 5 warunków bezpieczeństwa, które musisz znaćInternet to czołg rekina; jesteś narażony na zagrożenia lewe i prawe. Musisz zrozumieć ryzyko, aby się chronić. Poniżej przedstawiamy pięć najczęstszych zagrożeń bezpieczeństwa w Internecie. Czytaj więcej .

Vishing

Phishing głosowy, zwany Vishing, jest powszechną techniką oszustw elektronicznych, której popularność rośnie. W dużej mierze zależy to od skłonności ofiary do polegania na świętości telefonu stacjonarnego w porównaniu z innymi platformami komunikacyjnymi, takimi jak telefon komórkowy lub poczta elektroniczna.

# Vishing call przekonuje pracowników Burger King do wybicia okien https://t.co/4AuCqV6t6A

- Social-Engineer, Inc (@SocEngineerInc) 12 kwietnia 2016 r

Atak Vishing zwykle ma na celu przede wszystkim wydobycie danych bankowych lub innych ważnych danych osobowych informacje od ofiary i zwykle są uzupełniane przez automatyczne wybieranie numeru i syntezę głosu ekwipunek. Coraz częściej jednak pojawiają się doniesienia o ludzkich operatorach, którzy zmuszają swoje ofiary do podzielenia się szczegółami. Ataki Vishing są zwykle bardzo trudne do wyśledzenia, tym bardziej, że pojawią się niezwykle tanie usługi VoIP i usługi automatyczne.

Maine Judicial Branch ostrzega przed #vishing oszustwo z oszustami podszywającymi się pod pracowników sądowych https://t.co/zvtfsgBXWV

- Social-Engineer, Inc (@SocEngineerInc) 13 kwietnia 2016 r

Jedna z popularnych technik ataku polega na tym, że ofiara po prostu odbiera telefon od osoby atakującej. Następnie słyszą spiel, którego oszust postanowił użyć, zwykle obejmując natychmiastowe żądanie, które dotyczy karty kredytowej lub nietypową działalność bankową. Ofiara otrzymuje następnie sfałszowany numer telefonu, pod który można zadzwonić.

Występuje teraz jedna z dwóch rzeczy. Zarówno:

1. Ofiara spotka się ze zautomatyzowanym systemem głosowym wymagającym od ofiary wpisania swojego kredytu dane karty, karty debetowej lub inne dane bankowe, wraz z ich numerami PIN i innymi danymi osobistymi identyfikatory, lub
2. Gdy ofiara początkowo odkłada słuchawkę, aby zadzwonić do swojego banku, oszust nie. Dzięki temu linia jest otwarta i połączona z oszustem. Ofiara może wówczas usłyszeć sfałszowany sygnał wybierania, a następnie oszust „odbiera” telefon. Następnie działają jako urzędnik bankowy, prosząc ofiary o dane do późniejszego wykorzystania lub przelewając środki z jednego konta na nowe, „bezpieczne” konto.

W zależności od oszustwa i banku ofiary mogą odzyskać część utraconych środków, ale w żadnym wypadku nie jest to gwarantowane. Niektóre banki, jakkolwiek wydaje się to bez serca, odrzucają roszczenia tego rodzaju, ponieważ ofiara działała z „rażącym zaniedbaniem”, nie zapewniając ich własne bezpieczeństwo bankowe.

„HSBC odmówił zwrotu pieniędzy, argumentując, że prawdziwe karty bankowe pary (nie klon) i prawidłowe szpilki zostały użyte i dlatego naruszyły warunki banku i były rażąco niedbały."

I chociaż powyższy przypadek dotyczy zgubionych i skradzionych kart bankowych, straty pieniężne wynikające z oszustwa polegającego na oszustwie nadal istnieją legalna szara strefa, podczas gdy banki argumentują, że część odpowiedzialności musi zostać nałożona na ofiarę, aby aktywnie chronić własne interesy, pomimo wspólnych wysiłków oszustów.

Smishing

„SMiShing”, portmonetka SMS-ów i phishingu, polega na używaniu wiadomości SMS do oszukiwania danej osoby. Techniki smishingu są stosunkowo analogiczne do phishingu i vishingu. Ofiara otrzymuje wiadomość tekstową rzekomo pochodzącą z wiarygodnego, godnego zaufania źródła.

Wiadomość SMS zazwyczaj zawiera również podobną wiadomość, w której osoby atakujące udają administratorów lub urzędników bankowych w celu ostrzeżenia o naruszonej karcie kredytowej lub debetowej, koncie lub tożsamości. Ofiara jest następnie zachęcana do skorzystania z zagrożonego linku lub numeru telefonu zawartego w wiadomości, gdzie ofiara ujawnia określone informacje oszustom.

Jeśli otrzymasz taki tekst, NIE NALEŻY dzwonić pod ten numer, ale zadzwoń bezpośrednio do banku. #SMiShing#Oszustwopic.twitter.com/ZLiYb6PAkw

- Oszustwa Northants (@NorthantsFraud) 27 kwietnia 2016 r

Ofiary phishingowe SMS-em nie zawsze są narażone na oszustwa bankowe, jak widać w powyższym tweecie. To jest próbka aktualnie trwającej kampanii Smishing, pobrana z mojego rodzinnego miasta. Podobnie w 2012 r. Duża liczba obywateli USA otrzymała SMS zawierający tekst w stylu:

„Drogi sklepie Walmart, Gratulacje, właśnie wygrałeś kartę podarunkową Walmart o wartości 1000 $. Kliknij tutaj, aby odebrać prezent. www.fraudulentwebsiteaddress.com (anuluj: STOP) ”

To oszustwo wykorzystało popularność Walmarta, aby zachęcić ofiary do kliknięcia linku, gdzie zostali poproszeni o seria pytań umożliwiających identyfikację, które kończą się bezpośrednim wnioskiem o kartę kredytową lub debetową Detale.

Dane osobowe nie zawsze są głównym celem. Niektóre wyśmienite kampanie koncentrują się na instalowaniu złośliwego oprogramowania na telefonie ofiary w celu ciągłego gromadzenia danych atakować, woląc zbierać więcej informacji przez dłuższy czas, podczas gdy ofiara pozostaje boleśnie nieświadomy.

Nie daj się złapać

O ile przebiegli i podstępni są oszuści, możesz uzbroić się w garść taktyk łagodzących. Wszystkie są niezwykle łatwe do zapamiętania i na pewno pozwolą ci zaoszczędzić czas, pieniądze i mnóstwo zmarnowanej energii. Prawie wszystkie dotyczą wszelkich form phishingu, jakie możesz napotkać.

• Sprawdź i dwukrotnie sprawdź numer osoby dzwoniącej lub źródło wiadomości błyskawicznej lub tekstowej. Numer mógł być sfałszowane Co to jest fałszowanie wiadomości e-mail? Jak oszuści fałszują fałszywe wiadomości e-mailWygląda na to, że Twoje konto e-mail zostało zhakowane, ale te dziwne wiadomości, których nie wysłałeś, są spowodowane fałszowaniem wiadomości e-mail. Czytaj więcej wyglądać jak oficjalne źródło.
• Nawet jeśli numer wygląda na prawidłowy, gdy zostaniesz poproszony o oddzwonienie na numer, zawsze używaj innej linii telefonicznej. Pozwala to uniknąć oszustw „bez rozłączania się”. Użyj numeru z ostatniego wyciągu bankowego lub wyszukaj główny numer obsługi klienta swojego banku online.
• Nigdy przekaż komukolwiek swoje informacje bankowe przez telefon, bez względu na to, jak bardzo nalegają. Twój bank nie zapytam cię na wszelkie dane identyfikacyjne, w szczególności numery PIN, numery bezpieczeństwa na odwrocie karty, a nawet datę ważności.
• Nigdy przelać pieniądze na inne konto na żądanie przypadkowego dzwoniącego. Twój bank nigdy cię nie zapytam zrobić to. Podobnie nie wyślą kuriera do twojego domu, aby odebrał książeczkę czekową. Żadna oficjalna instytucja tego nie zrobi, chyba że zostaniesz aresztowany na polecenie IRS.
• Zachowaj szczególną ostrożność wobec niechcianych wiadomości z banku lub innej zaufanej nazwy. O ile wcześniej nie uzgodniłeś ze swoim bankiem, że kontakt SMS jest w porządku, tak się nie stanie.
• Uważaj również na wszelkie linki zawarte w dowolnej wiadomości SMS. Skrócone linki mogą zabrać Cię w dowolne miejsce, a wiedza na temat tego, co się stanie, gdy klikniesz lub klikniesz, jest niewielka.

Przede wszystkim, bądź czujny. Jeśli nie jesteś pewien, po prostu odłożyć słuchawkę. Jeśli jest to niechciany tekst, zignoruj ​​to. Techniki socjotechniki oparte na prześladowaniu i wyłudzaniu wiedzy wykorzystują to samo nadużycie zaufania, co phishing. Nawet podczas pisania tego artykułu otrzymałem ten e-mail:

Teraz, Wiem, że adres e-mail jest sfałszowany 5 przykładów pomocnych w wykryciu oszustwa lub fałszywej wiadomości e-mailPrzejście ze spamu do ataków phishingowych jest zauważalne i rośnie. Jeśli istnieje jedna mantra, o której należy pamiętać, to właśnie ona - najważniejszą obroną przed phishingiem jest świadomość. Czytaj więcej . Czemu? Ponieważ są tylko dwie osoby z adresami e-mail pod tym adresem URL, a jedna z nich jest moja. Przywiązanie jest również całkowitą nagrodą.

Technologia nigdy nie zapewni 100% efektu odstraszającego, jaki chcielibyśmy. Ani w 100% przypadków nie wykryje oszustów. Technologia może zaoferować doskonały punkt wyjścia, ale tak jak prawie wszystko w życiu, chyba że popełnisz własne należytej staranności i próby krytycznego myślenia o przychodzących komunikatach, przygotowujecie się na naprawdę złe czas.

Czy padłeś ofiarą oszustwa vishingu lub oszustwa? Czy zdałeś sobie sprawę natychmiast, czy tylko wtedy, gdy Twoje konta zostały naruszone? Czy wiesz, czego teraz szukać? Daj nam znać poniżej!