Nuove tecniche di phishing per essere a conoscenza di Vishing e Smishing
I dati personali sono diventati una delle valute più preziose e ricercate. Ci occupiamo di esso e lo scambiamo senza pensare, ogni giorno, aprendo noi stessi e i nostri santuari dei dati interiori a potenziali aggressori che utilizzerebbero tali informazioni contro di noi. Individuare i tentativi di phishing è diventato di rigore per la maggior parte degli utenti di Internet. Se hai mai aderito a qualcosa online, ci sono buone probabilità che anche il tuo nome completo, l'indirizzo di casa, l'indirizzo email e il numero di telefono siano cambiati. Armati di questo, i truffatori possono tentare di sfruttarti.
Ci piace pensare che siamo troppo intelligenti per essere ingannati dalle truffe ovvie. Che la nostra conoscenza di come le comuni truffe di phishing sono state rimosse ci rende superiori alla vecchia signora Bethel in fondo alla strada, che non riusciva a individuare un “Principessa nigeriana” da una fattura PayPal falsata Come individuare un e-mail di phishing Come individuare un e-mail di phishing Catturare un e-mail di phishing è difficile! I truffatori si pongono come PayPal o Amazon, cercando di rubare la password e le informazioni della carta di credito, il loro inganno è quasi perfetto. Ti mostriamo come individuare la frode. Leggi di più . Potrebbe anche essere piuttosto vero. Ma i truffatori non riposano, e come abbiamo visto con la crescita in Vishing e Smishing exploit, sono felici di utilizzare nuovi vettori di attacco per sfruttare la vostra fiducia.
Cosa dovresti cercare? Suggerimenti rapidi e fatti che aiuteranno a evitare le truffe di Vishing e Smishing Suggerimenti e fatti rapidi che aiuteranno a evitare le truffe di Vishing e Smishing Leggi di più Come farai a sapere un tentativo di promozione o smishing quando arriverà? E tu potresti essere un bersaglio?
Diamo un'occhiata.
Quali sono queste nuove tecniche?
I tentativi di phishing di solito arrivano tramite e-mail o messaggistica istantanea. La vittima riceve un'email o un messaggio istantaneo con un campo mittente falsificato, contenente un messaggio che richiede una risposta immediata. L'e-mail fraudolenta o il messaggio istantaneo contengono un link che indirizza la vittima a un sito Web fasullo dove solitamente immettono informazioni personali, come una password, le credenziali di accesso al lavoro o altre informazioni identificative.
Mentre il phishing esisteva molto prima di Internet Che cos'è esattamente il phishing e quali tecniche vengono utilizzate dagli scammer? Che cos'è esattamente il phishing e quali sono le tecniche utilizzate dagli scammer? Non sono mai stato un fan della pesca, me stesso. Questo è principalmente a causa di una spedizione in anticipo in cui mio cugino è riuscito a catturare due pesci mentre ho preso zip. Simile alla pesca nella vita reale, le truffe di phishing non sono ... Per saperne di più, la nostra capacità di interagire con i social media, connettersi con le persone tramite e-mail e in genere affidare fiducia a sistemi online che non comprendiamo appieno (incluso il banking) ha periodo d'oro per aspiranti truffatori. Il loro tocco di Mida continua con il “introduzione” di exploit vishing e smishing Gone Phishing: 5 Termini di sicurezza da conoscere Phishing phishing: 5 Termini di sicurezza da conoscere Internet è un serbatoio di squali; sei esposto alle minacce sinistra e destra. Devi capire i rischi per proteggerti. Qui ti presentiamo le cinque più comuni minacce alla sicurezza online. Leggi di più .
Vishing
Il phishing vocale, denominato Vishing, è una tecnica di frode elettronica comune che registra un aumento dell'utilizzo. Si basa in gran parte sulla tendenza della vittima a riporre fiducia nella sacralità di una rete fissa rispetto ad altre piattaforme di comunicazione, come il proprio telefono cellulare o la posta elettronica.
La chiamata #Vishing convince gli impiegati di Burger King a distruggere windows https://t.co/4AuCqV6t6A
- Social-Engineer, Inc (@SocEngineerInc), 12 aprile 2016
Un attacco aggressivo ha di solito l'obiettivo principale di estrarre i dati bancari o altre importanti informazioni personali dalla vittima e di solito sono completati da una selezione automatica e da un'apparecchiatura di sintesi vocale. Tuttavia, ci sono sempre più segnalazioni di operatori umani che fanno pressione sulle loro vittime per separarsi dai loro dettagli. Gli attacchi Vishing sono in genere molto difficili da rintracciare, ancora di più con l'avvento di servizi Voice-over-IP (VoIP) estremamente economici e di servizi automatizzati.
Maine Judicial Branch avverte della truffa #vishing con i truffatori che impersonano gli impiegati del tribunale https://t.co/zvtfsgBXWV
- Social-Engineer, Inc (@SocEngineerInc), 13 aprile 2016
Una tecnica di attacco comune implica che la vittima semplicemente risponda alla chiamata degli attaccanti. Poi sentono il discorso che il truffatore ha deciso di utilizzare, di solito con una richiesta immediatamente utilizzabile che coinvolge la propria carta di credito o un'attività bancaria insolita. Alla vittima viene quindi fornito un numero di telefono falsificato da chiamare.
Una delle due cose ora si verifica. O:
- La vittima incontrerà un sistema vocale automatico che richiederà alla vittima di inserire la sua carta di credito, carta di debito o altri dati bancari, insieme ai loro numeri PIN e altri identificativi personali, o
- Quando la vittima inizialmente riattacca il telefono per effettuare una chiamata alla propria banca, il truffatore non lo fa. Ciò mantiene la linea aperta e connessa al truffatore. La vittima potrebbe quindi udire un tono di selezione falsificato, seguito dal truffatore “segreteria” il telefono. Agiscono quindi come funzionari bancari, richiedendo dettagli alla vittima per un uso successivo o incanalando fondi da un account a un nuovo, “sicuro” account.
A seconda della truffa e della banca, le vittime potrebbero recuperare parte dei fondi persi, ma questo non è affatto garantito. Alcune banche, per quanto possano sembrare spietate, rifiutano affermazioni di questa natura come la vittima ha agito “grave negligenza” non assicurando la propria sicurezza bancaria.
“HSBC si è rifiutata di rimborsare il denaro, sostenendo che le vere carte bancarie della coppia (non un clone) e le spille corrette sono state utilizzate e che, pertanto, hanno violato i termini e le condizioni della banca e sono state gravemente negligenti.”
E mentre l'istanza di cui sopra si applica alle carte bancarie rubate o perse, la perdita monetaria attraverso la frode pubblicitaria è ancora un'area legale grigia, con le banche che sostengono che parte della responsabilità deve essere attribuita alla vittima per proteggere attivamente i propri interessi, nonostante gli sforzi concertati dai truffatori.
Smishing
“SMiShing”, il portmanteau di SMS e phishing, è l'atto di utilizzare la messaggistica SMS per frodare un individuo. Le tecniche di smishing sono relativamente analoghe al phishing e al vishing. La vittima riceve un messaggio di testo che pretende di provenire da una fonte attendibile e affidabile.
L'SMS di solito contiene anche un messaggio simile, con aggressori che si presentano come amministratori bancari o funzionari per fornire un avviso di una carta di credito o di debito compromessa, un account o un'identità. La vittima è quindi incoraggiata a seguire il link compromesso o il numero di telefono incluso nel messaggio, dove la vittima rivela le informazioni specificate ai truffatori.
Se ricevi un messaggio simile a questo, NON chiamare il numero, ma chiama direttamente la tua banca. #SMiShing #Fraud pic.twitter.com/ZLiYb6PAkw
- Frodi di Northants (@NorthantsFraud) 27 aprile 2016
Le vittime di phishing via SMS non sono sempre esposte da una truffa bancaria, come puoi vedere nel Tweet sopra. Questo è un esempio della campagna Smishing attualmente in corso, presa dalla mia città natale. Allo stesso modo, nel 2012 un gran numero di cittadini statunitensi ha ricevuto un SMS contenente testo sulla falsariga di:
“Caro cliente Walmart, Congratulazioni, hai appena vinto una carta regalo Walmart da $ 1000. Clicca qui per richiedere il tuo regalo. www.fraudulentwebsiteaddress.com (cancella: STOP)”
Questa truffa usava la popolarità di Walmart per attirare le vittime a fare clic sul link, dove venivano poi poste una serie di domande di identificazione personale, culminate in una richiesta diretta per i dettagli della carta di credito o di debito.
I dettagli personali non sono sempre l'obiettivo principale. Alcune campagne di smishing si concentrano sull'installazione di malware sul telefono della vittima per un attacco prolungato alla raccolta di dati, preferendo raccogliere più informazioni per un periodo di tempo più lungo, mentre la vittima rimane dolorosamente inconsapevole.
Non farti prendere in giro
Essendo subdoli e ingannevoli i truffatori, puoi armarti di una manciata di tattiche di mitigazione. Sono tutti incredibilmente facili da ricordare e ti faranno sicuramente risparmiare tempo, denaro e un mucchio di energia sprecata. Quasi tutti si applicano a qualsiasi forma di phishing che potresti incontrare.
- Controlla e ricontrolla il numero del chiamante o la fonte dell'istante o del messaggio di testo. Il numero potrebbe essere stato falsificato Cosa è lo spoofing di email? Come gli scammer falsificano le email false Che cos'è lo spoofing dell'e-mail? Come gli Scammer forgiano le email false Sembra che il tuo account di posta elettronica sia stato violato, ma quei messaggi strani che non hai inviato sono in realtà dovuti allo spoofing delle email. Leggi di più per apparire come una fonte ufficiale.
- Anche se il numero sembra legittimo, quando ti viene richiesto di chiamare un numero indietro, utilizza sempre una linea telefonica diversa. Questo evita “no riagganciare” truffe. Utilizza un numero di un recente estratto conto bancario oppure consulta il numero del servizio clienti principale per la tua banca online.
- Mai dare a chiunque le tue informazioni bancarie al telefono, non importa quanto siano insistenti. La tua banca non te lo chiederò per tutti i dettagli identificativi, in particolare i numeri PIN, i numeri di sicurezza sul retro della carta, o anche la data di scadenza.
- Mai trasferire denaro su un altro account per volere di un chiamante casuale. La tua banca non ti chiederemo mai per fare questo. Allo stesso modo, non invieranno un corriere a casa tua per ritirare il tuo libretto degli assegni. Nessuna istituzione ufficiale lo farà, a meno che forse non venga arrestato per volere dell'IRS.
- Siate estremamente cauti nei confronti dei testi non richiesti della vostra banca o di un altro nome di fiducia. A meno che tu non abbia precedentemente concordato con la tua banca che il contatto SMS è a posto, non accadrà.
- Diffidare allo stesso modo di eventuali collegamenti inclusi in qualsiasi messaggio SMS. Link abbreviati potrebbero portarti ovunque, e c'è poco modo di sapere cosa accadrà una volta che il link è stato toccato o cliccato.
Soprattutto, stai attento. Se non sei sicuro, semplicemente Appendere. Se è un testo non richiesto, ignoralo. Le tecniche di social engineering basate sul vishing e il blishing si basano sullo stesso abuso di fiducia del phishing. Anche mentre stavo scrivendo questo articolo, ho ricevuto questa email:
Ora, so che l'indirizzo email è falsificato 5 Esempi per aiutarti a individuare un messaggio fraudolento o falso Email 5 Esempi per aiutarti a individuare un'e-mail fraudolenta o falsa Il passaggio dallo spam agli attacchi di phishing è notevole ed è in aumento. Se c'è un solo mantra da tenere a mente, è questo: la difesa numero uno contro il phishing è consapevolezza. Leggi di più . Perché? Perché ci sono solo due persone con indirizzi e-mail a quell'URL, e una di queste è mia. L'allegato è anche un omaggio totale.
La tecnologia non offrirà mai il deterrente al 100% che vorremmo. Non rileverà i truffatori il 100% delle volte. La tecnologia può offrire un eccellente punto di partenza, ma come in quasi tutto nella vita, a meno che non si impegna la propria dovuta diligenza e si cerchi di pensare in modo critico alle comunicazioni in entrata, ti stai preparando per un brutto momento.
Sei stato vittima di una truffa pubblicitaria o di smishing? Ti sei reso conto immediatamente o solo quando i tuoi account sono stati compromessi? Sai cosa cercare adesso? Facci sapere di seguito!
Scopri di più su: Hacking, Phishing.