Nuove tecniche di phishing da tenere presente: Vishing e Smishing

Annuncio pubblicitario

I dati personali sono diventati una delle valute più preziose e ricercate. Ci occupiamo di esso e lo scambiamo senza pensare, ogni giorno, aprendo noi stessi e i nostri santuari di dati interni ai potenziali aggressori che userebbero tali informazioni contro di noi. Individuare i tentativi di phishing è diventato di rigore per la maggior parte degli utenti di Internet. Se ti sei mai registrato a qualcosa online, ci sono buone probabilità che anche il tuo nome completo, indirizzo di casa, indirizzo email e numero di telefono siano cambiati. Armati di questo, i truffatori possono tentare di sfruttarti.

Ci piace pensare di essere troppo intelligenti per essere ingannati dalle ovvie truffe. Che la nostra conoscenza di come vengono truffate le comuni truffe di phishing ci rende superiori alla vecchia signora Betel in fondo alla strada, che non riusciva a individuare una "Principessa nigeriana" da una fattura PayPal simulata Come individuare un'e-mail di phishingCatturare un'e-mail di phishing è difficile! I truffatori si pongono come PayPal o Amazon, cercando di rubare la password e i dati della carta di credito, se il loro inganno è quasi perfetto. Ti mostriamo come individuare la frode.

Leggi di più . Potrebbe anche essere un po 'vero. Ma i truffatori non riposano, e come abbiamo visto con la crescita in Vishing e Smishing exploit, sono felici di utilizzare nuovi vettori di attacco per sfruttare la tua fiducia.

Cosa dovresti cercare? Suggerimenti e fatti rapidi che aiuteranno a evitare le truffe di Vishing e Smishing Leggi di più Come saprai un tentativo di vishing o smishing quando arriverà? E sei probabilmente un bersaglio?

Diamo un'occhiata.

Quali sono queste nuove tecniche?

I tentativi di phishing di solito arrivano tramite e-mail o messaggistica istantanea. La vittima riceve un'e-mail o un messaggio istantaneo con un campo mittente contraffatto, contenente un messaggio che richiede una risposta immediata. L'e-mail o il messaggio istantaneo fraudolento contiene un collegamento che indirizza la vittima verso un sito Web falso in cui solitamente inserire un dato personale, come una password, le credenziali di accesso al lavoro o altri identificativi informazione.

Mentre il phishing esisteva molto prima di Internet Che cos'è esattamente il phishing e quali tecniche utilizzano i truffatori?Non sono mai stato un fan della pesca, me stesso. Ciò è dovuto principalmente a una spedizione anticipata in cui mio cugino è riuscito a catturare due pesci mentre io catturavo zip. Simile alla pesca nella vita reale, le truffe di phishing non sono ... Leggi di più , la nostra capacità di interagire con i social media, entrare in contatto con le persone tramite e-mail e in genere affidarsi a i sistemi online che non comprendiamo appieno (incluso il settore bancario) hanno creato un periodo d'oro per gli aspiranti truffatori. Il loro tocco Midas continua con l '"introduzione" di exploit di pesca e smishing Finito il phishing: 5 termini di sicurezza che devi conoscereInternet è un carro armato di squali; sei esposto alle minacce sinistra e destra. Devi capire i rischi per proteggerti. Qui ti presentiamo le cinque più comuni minacce alla sicurezza online. Leggi di più .

Vishing

Il phishing vocale, noto come Vishing, è una tecnica di frode elettronica comune che vede un aumento dell'utilizzo. Si basa in gran parte sulla tendenza della vittima a riporre fiducia nella santità di un telefono fisso rispetto ad altre piattaforme di comunicazione, come il telefono cellulare o l'e-mail.

#Vishing call convince i dipendenti di Burger King a distruggere le finestre https://t.co/4AuCqV6t6A

- Social-Engineer, Inc (@SocEngineerInc) 12 aprile 2016

Un attacco di vishing di solito ha un obiettivo primario di estrarre i dettagli bancari o altri importanti dati personali informazioni dalla vittima, e di solito sono completate dalla composizione automatica e dalla sintesi vocale attrezzature. Tuttavia, ci sono rapporti crescenti di operatori umani che spingono le loro vittime a separarsi dai loro dettagli. Gli attacchi di pesca sono di solito molto difficili da rintracciare, tanto più con l'avvento di servizi VoIP (Voice over IP) estremamente economici e servizi automatizzati.

Il ramo giudiziario del Maine avverte di #vishing truffa con truffatori che impersonano gli operai della corte https://t.co/zvtfsgBXWV

- Social-Engineer, Inc (@SocEngineerInc) 13 aprile 2016

Una tecnica di attacco comune prevede che la vittima risponda semplicemente alla chiamata degli aggressori. Poi sentono lo spiel che il truffatore ha deciso di utilizzare, di solito comportando una richiesta immediatamente utilizzabile che coinvolge la loro carta di credito o un'attività bancaria insolita. Alla vittima viene quindi fornito un numero di telefono contraffatto da chiamare.

Si verifica ora una delle due cose. O:

1. La vittima verrà accolta con un sistema vocale automatizzato che richiede alla vittima di inserire il proprio credito carta, carta di debito o altri dettagli bancari, insieme ai loro numeri PIN e altri dati personali identificatori, o
2. Quando inizialmente la vittima riattacca il telefono per effettuare una chiamata alla propria banca, il truffatore non lo fa. Ciò mantiene la linea aperta e connessa al truffatore. La vittima può quindi udire un tono di composizione falsificato, seguito dal truffatore che "risponde" al telefono. Quindi agiscono come un funzionario bancario, richiedendo dettagli alla vittima per un uso successivo o incanalando i fondi da un conto a un nuovo conto "sicuro".

A seconda della truffa e della banca, le vittime possono recuperare alcuni dei loro fondi persi, ma ciò non è affatto garantito. Alcune banche, per quanto possa sembrare senza cuore, respingono le affermazioni di questa natura poiché la vittima ha agito con "grave negligenza" non assicurando la loro propria sicurezza bancaria.

"HSBC ha rifiutato di rimborsare i soldi, sostenendo che le vere carte bancarie della coppia (non un clone) e la corretta sono stati utilizzati pin e che, pertanto, hanno violato i termini e le condizioni della banca e sono stati gravemente negligente."

E mentre l'istanza di cui sopra si applica alle carte bancarie smarrite e rubate, la perdita monetaria dovuta alla frode in atto è ancora un'area grigia legale, con le banche che sostengono che parte della responsabilità deve essere posta sulla vittima per proteggere attivamente i propri interessi, nonostante gli sforzi concertati dei truffatori.

Smishing

"SMiShing", il portmanteau di SMS e phishing, è l'atto di utilizzare la messaggistica SMS per frodare un individuo. Le tecniche di smishing sono relativamente analoghe al phishing e al vishing. La vittima riceve un messaggio di testo che pretende di provenire da una fonte affidabile e affidabile.

L'SMS di solito contiene anche un messaggio simile, con gli aggressori che si presentano come amministratori o funzionari bancari per inviare un avviso di una carta di credito o debito, un conto o un'identità compromessa. La vittima è quindi incoraggiata a seguire il collegamento o il numero di telefono compromesso incluso nel messaggio, in cui la vittima rivela le informazioni specificate ai truffatori.

Se ricevi un messaggio simile al seguente, NON chiamare il numero, ma chiama direttamente la tua banca. #SMiShing#Frodepic.twitter.com/ZLiYb6PAkw

- Northants Fraud (@NorthantsFraud) 27 aprile 2016

Le vittime di phishing via SMS non sono sempre esposte a una truffa bancaria, come puoi vedere nel Tweet sopra. Questo è un esempio della campagna Smishing attualmente in corso, tratta dalla mia città natale. Allo stesso modo, nel 2012 un gran numero di cittadini statunitensi ha ricevuto un SMS contenente un testo simile a:

“Gentile acquirente Walmart, congratulazioni per aver appena vinto una carta regalo Walmart da $ 1000. Clicca qui per richiedere il tuo regalo. www.fraudulentwebsiteaddress.com (annulla: STOP) ”

Questa truffa ha sfruttato la popolarità di Walmart per attirare le vittime nel fare clic sul collegamento, dove sono state poi invitate a serie di domande di identificazione personale, che culminano in una richiesta diretta di carta di credito o debito dettagli.

I dettagli personali non sono sempre l'obiettivo principale. Alcune campagne minacciose si concentrano sull'installazione di malware sul telefono della vittima per una raccolta dati duratura attaccare, preferendo raccogliere più informazioni per un periodo di tempo più lungo, mentre la vittima rimane dolorosamente inconsapevoli.

Non farti catturare

Per quanto siano subdoli e ingannevoli i truffatori, puoi armarti di una manciata di tattiche di mitigazione. Sono tutti ridicolmente facili da ricordare e ti faranno sicuramente risparmiare tempo, denaro e un sacco di energia sprecata. Quasi tutti si applicano a qualsiasi forma di phishing che potresti incontrare.

• Controllare e ricontrollare il numero del chiamante o l'origine del messaggio istantaneo o di testo. Il numero potrebbe essere stato falsificato Che cos'è lo spoofing e-mail? Come i truffatori forgiano e-mail falseSembra che il tuo account e-mail sia stato violato, ma quegli strani messaggi che non hai inviato sono in realtà dovuti allo spoofing dell'email. Leggi di più sembrare una fonte ufficiale.
• Anche se il numero sembra legittimo, quando ti viene richiesto di richiamare un numero, utilizza sempre una linea telefonica diversa. Questo evita le truffe "senza riattaccare". Utilizza un numero di un estratto conto recente o cerca il numero del servizio clienti principale per la tua banca online.
• Mai fornire a chiunque le informazioni bancarie al telefono, indipendentemente da quanto siano insistenti. La tua banca non te lo chiederò per tutti i dettagli identificativi, in particolare i numeri PIN, i numeri di sicurezza sul retro della carta o persino la data di scadenza.
• Mai trasferire denaro su un altro conto su richiesta di un chiamante casuale. La tua banca non te lo chiederò mai per fare questo. Allo stesso modo, non invieranno un corriere a casa tua per ritirare il tuo libretto degli assegni. Nessuna istituzione ufficiale lo farà, a meno che tu non sia forse stato arrestato per ordine dell'IRS.
• Fai molta attenzione ai testi non richiesti dalla tua banca o da un altro nome di fiducia. A meno che non abbiate concordato in precedenza con la vostra banca che il contatto SMS va bene, non accadrà.
• Diffidare allo stesso modo di eventuali collegamenti inclusi in qualsiasi messaggio SMS. I collegamenti abbreviati potrebbero portarti ovunque, e c'è poco modo di sapere cosa accadrà una volta toccato o cliccato quel collegamento.

Soprattutto, stai attento. Se non sei sicuro, semplicemente Appendere. Se si tratta di un testo indesiderato, ignoralo. Vishing e smishing tecniche di social engineering si basano sullo stesso abuso di fiducia del phishing. Anche mentre stavo scrivendo questo articolo, ho ricevuto questa email:

Adesso, So che l'indirizzo e-mail è falso 5 esempi per aiutarti a individuare una frode o un'e-mail falsaIl passaggio dallo spamming agli attacchi di phishing è evidente ed è in aumento. Se c'è un singolo mantra da tenere a mente, è questo: la difesa numero uno contro il phishing è la consapevolezza. Leggi di più . Perché? Perché ci sono solo due persone con indirizzi e-mail in quell'URL e uno di questi è il mio. L'allegato è anche un omaggio totale.

La tecnologia non offrirà mai il deterrente al 100% che vorremmo. Né rileverà i truffatori il 100% delle volte. La tecnologia può offrirti un eccellente punto di partenza, ma come con quasi tutto nella vita, a meno che tu non ti impegni due diligence e tentare di pensare in modo critico alle comunicazioni in arrivo, ti stai preparando per un brutto momento tempo.

Sei stato vittima di una truffa in via di estinzione? Ti sei reso conto immediatamente o solo quando i tuoi account sono stati compromessi? Sai cosa cercare adesso? Facci sapere di seguito!