Nouvelles techniques de phishing à connaître: Vishing et Smishing

Publicité

Les données personnelles sont devenues l'une des devises les plus précieuses et recherchées. Nous nous en occupons et les échangeons sans réfléchir, chaque jour, nous ouvrant ainsi que nos sanctuaires de données internes à des attaquants potentiels qui utiliseraient ces informations contre nous. Repérer les tentatives de phishing est devenu de rigueur pour la plupart des internautes. Si vous vous êtes déjà inscrit à quelque chose en ligne, il y a de fortes chances que votre nom complet, votre adresse personnelle, votre adresse e-mail et votre numéro de téléphone aient également changé de mains. Armés de cela, les escrocs peuvent tenter de vous exploiter.

Nous aimons penser que nous sommes trop intelligents pour être trompés par les escroqueries évidentes. Que notre connaissance de la façon dont les escroqueries par phishing sont supprimées nous rend supérieurs à la vieille Mme Bethel sur la route, qui ne pouvait pas repérer une "princesse nigériane" de une facture PayPal simulée

Comment repérer un e-mail de phishingAttraper un e-mail de phishing est difficile! Les escrocs se font passer pour PayPal ou Amazon, essayant de voler votre mot de passe et vos informations de carte de crédit, leur tromperie est presque parfaite. Nous vous montrons comment repérer la fraude. Lire la suite . Cela pourrait même être quelque peu vrai. Mais les fraudeurs ne se reposent pas, et comme nous l'avons vu avec la croissance de Vishing et Smishing exploits, ils sont heureux d'utiliser de nouveaux vecteurs d'attaque pour exploiter votre confiance.

À quoi devez-vous faire attention? Conseils et faits rapides qui vous aideront à éviter les escroqueries par vishing et smishing Lire la suite Comment saurez-vous une tentative de vishing ou smishing à son arrivée? Et êtes-vous susceptible d'être une cible?

Nous allons jeter un coup d'oeil.

Quelles sont ces nouvelles techniques?

Les tentatives de phishing se font généralement par e-mail ou par messagerie instantanée. La victime reçoit un e-mail ou un message instantané avec un champ d'expéditeur usurpé, contenant un message nécessitant une réponse instantanée. L'e-mail ou le message instantané frauduleux contient un lien dirigeant la victime vers un faux site Web où elle saisir une information personnelle, comme un mot de passe, leurs identifiants de connexion au travail ou tout autre identifiant information.

Tandis que le phishing existait bien avant Internet Qu'est-ce que le phishing et quelles techniques les fraudeurs utilisent-ils exactement?Je n'ai jamais été fan de la pêche, moi-même. C'est principalement à cause d'une expédition précoce où mon cousin a réussi à attraper deux poissons pendant que j'attrapais la fermeture éclair. Semblables à la pêche réelle, les escroqueries par hameçonnage ne sont pas ... Lire la suite , notre capacité à interagir avec les médias sociaux, à communiquer avec les gens par e-mail et à faire généralement confiance à les systèmes en ligne que nous ne comprenons pas complètement (y compris les services bancaires) ont organisé une période dorée pour les futurs escrocs. Leur touche Midas se poursuit avec «l'introduction» de exploiter et exploiter Fini le phishing: 5 termes de sécurité que vous devez connaîtreInternet est un réservoir de requins; vous êtes exposé aux menaces de gauche et de droite. Vous devez comprendre les risques pour vous protéger. Nous vous présentons ici les cinq menaces de sécurité en ligne les plus courantes. Lire la suite .

Vishing

Le phishing vocal, appelé Vishing, est une technique de fraude électronique courante qui connaît une augmentation de l'utilisation. Il repose en grande partie sur la tendance de la victime à faire confiance au caractère sacré d’une ligne fixe par rapport à d’autres plates-formes de communication, telles que son téléphone portable ou son courrier électronique.

#Vishing appel convainc les employés de Burger King à briser les fenêtres https://t.co/4AuCqV6t6A

- Ingénieur Social, Inc (@SocEngineerInc) 12 avril 2016

Une attaque par vishing a généralement pour objectif principal d'extraire des informations bancaires ou d'autres informations personnelles importantes. informations de la victime et sont généralement complétées par une numérotation et une synthèse vocale équipement. Cependant, il y a de plus en plus de rapports selon lesquels des opérateurs humains pressent leurs victimes de se séparer de leurs détails. Les attaques de vishing sont généralement très difficiles à retracer, d'autant plus avec l'avènement de services de Voix sur IP (VoIP) et de services automatisés extrêmement bon marché.

La branche judiciaire du Maine met en garde contre #vishing arnaque avec des escrocs usurpant l'identité des travailleurs judiciaires https://t.co/zvtfsgBXWV

- Ingénieur Social, Inc (@SocEngineerInc) 13 avril 2016

Une technique d'attaque courante implique que la victime répond simplement à l'appel des attaquants. Ils entendent ensuite le spiel que l'escroc a décidé d'utiliser, impliquant généralement une demande immédiatement exécutable impliquant leur carte de crédit ou une activité bancaire inhabituelle. La victime reçoit alors un numéro de téléphone usurpé pour appeler.

Une des deux choses se produit maintenant. Soit:

1. La victime sera accueillie avec un système vocal automatisé obligeant la victime à saisir son crédit carte, carte de débit ou autres coordonnées bancaires, ainsi que leurs codes PIN et autres informations personnelles identifiants, ou
2. Lorsque la victime raccroche au départ pour appeler la banque, le fraudeur ne le fait pas. Cela maintient la ligne ouverte et connectée au fraudeur. La victime peut alors entendre une tonalité de composition usurpée, suivie par l'escroc «répondant» au téléphone. Ils agissent alors en tant qu'officier de banque, demandant des détails à la victime pour une utilisation ultérieure, ou pour canaliser les fonds d'un compte vers un nouveau compte «sécurisé».

Selon l'arnaque et la banque, les victimes peuvent récupérer une partie de leurs fonds perdus, mais cela n'est nullement garanti. Certaines banques, aussi insensées que cela puisse paraître, rejettent les allégations de cette nature car la victime a agi avec «négligence grave» en ne garantissant pas leur propre sécurité bancaire.

"HSBC a refusé de rembourser l'argent, arguant que les vraies cartes bancaires du couple (pas un clone) et la bonne des épingles ont été utilisées et qu’elles ont donc violé les conditions générales de la banque et ont été négligent."

Et bien que l'instance ci-dessus s'applique aux cartes bancaires perdues et volées, la perte monétaire due à la fraude par vishing est toujours une zone grise légale, les banques faisant valoir qu'une partie de la responsabilité doit incomber à la victime pour protéger activement ses propres intérêts, malgré les efforts concertés des escrocs.

Smishing

«SMiShing», le portemanteau des SMS et du phishing, est l'acte d'utiliser la messagerie SMS pour frauder un individu. Les techniques de smishing sont relativement analogues au phishing et au vishing. La victime reçoit un SMS censé provenir d'une source fiable et digne de confiance.

Le SMS contient généralement un message similaire, les attaquants se faisant passer pour des administrateurs ou des responsables bancaires pour avertir d'une carte de crédit ou de débit compromise, d'un compte ou d'une identité. La victime est ensuite encouragée à suivre le lien ou le numéro de téléphone compromis inclus dans le message, où la victime révèle les informations spécifiées aux fraudeurs.

Si vous recevez un SMS qui ressemble à ceci, N'appelez PAS le numéro, mais appelez directement votre banque. #SMiShing#Fraudepic.twitter.com/ZLiYb6PAkw

- Fraude des Northants (@NorthantsFraud) 27 avril 2016

Les victimes de phishing par SMS ne sont pas toujours exposées par une arnaque bancaire, comme vous pouvez le voir dans le Tweet ci-dessus. Voici un échantillon de la campagne Smishing en cours, prise dans ma ville natale. De même, en 2012, un grand nombre de citoyens américains ont reçu un SMS contenant du texte du type:

«Cher acheteur Walmart, Félicitations, vous venez de gagner une carte-cadeau Walmart de 1 000 $. Cliquez ici pour réclamer votre cadeau. www.fraudulentwebsiteaddress.com (annuler: STOP) ”

Cette arnaque a utilisé la popularité de Walmart pour inciter les victimes à cliquer sur le lien, où on leur a ensuite demandé un série de questions d'identification personnelle, aboutissant à une demande directe de carte de crédit ou de débit détails.

Les détails personnels ne sont pas toujours l'objectif principal. Certaines campagnes de smishing se concentrent sur l'installation de logiciels malveillants sur le téléphone de la victime pour une collecte de données soutenue attaque, préférant recueillir plus d'informations sur une plus longue période de temps, tandis que la victime reste douloureusement ignorant.

Ne te fais pas prendre

Comme les escrocs sont sournois et trompeurs, vous pouvez vous armer d'une poignée de tactiques d'atténuation. Ils sont tous ridiculement faciles à retenir et vous feront certainement gagner du temps, de l'argent et des tas d'énergie gaspillée. Presque tous s'appliquent à toute forme de phishing que vous pourriez rencontrer.

• Vérifiez et revérifiez le numéro de l'appelant ou la source du message instantané ou texte. Le nombre peut avoir été usurpé Qu'est-ce que l'usurpation d'adresse e-mail? Comment les fraudeurs forgent de faux courrielsIl semble que votre compte de messagerie ait été piraté, mais ces messages étranges que vous n'avez pas envoyés sont en fait dus à l'usurpation de courrier électronique. Lire la suite ressembler à une source officielle.
• Même si le numéro semble légitime, lorsque vous êtes invité à rappeler un numéro, utilisez toujours une ligne téléphonique différente. Cela évite les escroqueries «sans raccrochage». Utilisez un numéro d'un relevé bancaire récent ou recherchez le numéro de service client principal de votre banque en ligne.
• Jamais donnez à quiconque vos informations bancaires par téléphone, quelle que soit leur insistance. Votre banque ne vous demandera pas pour tous les détails d'identification, en particulier pas les codes PIN, les numéros de sécurité au dos de la carte ou même votre date d'expiration.
• Jamais transférer de l'argent sur un autre compte à la demande d'un appelant aléatoire. Votre banque ne te demandera jamais pour faire ça. De même, ils n'enverront pas de courrier à votre domicile pour récupérer votre chéquier. Aucune institution officielle ne fera cela, à moins que vous ne soyez peut-être arrêté à la demande de l'IRS.
• Méfiez-vous extrêmement des textes non sollicités de votre banque ou d'un autre nom de confiance. À moins que vous n'ayez préalablement convenu avec votre banque que le contact par SMS est correct, cela ne se produira pas.
• Méfiez-vous de même des liens inclus dans un message SMS. Les liens raccourcis peuvent vous emmener n'importe où, et il y a peu de moyens de savoir ce qui se passera une fois que vous aurez tapé ou cliqué sur ce lien.

Surtout, Soyez vigilant. Si vous n'êtes pas sûr, simplement Raccrocher. S'il s'agit d'un texte non sollicité, ignorer. Les techniques d'ingénierie sociale de vishing et smishing reposent sur le même abus de confiance que le phishing. Même pendant que j'écrivais cet article, j'ai reçu cet e-mail:

Maintenant, Je sais que l'adresse e-mail est usurpée 5 exemples pour vous aider à repérer une fraude ou un faux e-mailLe passage du spam aux attaques de phishing est perceptible et en augmentation. S'il y a un seul mantra à garder à l'esprit, c'est celui-ci - la défense numéro un contre le phishing est la sensibilisation. Lire la suite . Pourquoi? Parce qu'il n'y a que deux personnes avec des adresses e-mail à cette URL, et l'une d'entre elles est la mienne. La pièce jointe est également un cadeau total.

La technologie n'offrira jamais la dissuasion 100% que nous souhaiterions. Il ne détectera pas non plus les escrocs 100% du temps. La technologie peut vous offrir un excellent point de départ, mais comme avec presque tout dans la vie, sauf si vous engagez votre propre diligence raisonnable et essayez de penser de manière critique aux communications entrantes, vous vous préparez à une très mauvaise temps.

Avez-vous été victime d'une escroquerie par vishing ou smishing? Vous êtes-vous rendu compte immédiatement, ou seulement lorsque vos comptes ont été compromis? Savez-vous quoi chercher maintenant? Faites-le nous savoir ci-dessous!