Neue Phishing-Techniken: Vishing und Smishing

Werbung

Personenbezogene Daten sind zu einer der wertvollsten und gefragtesten Währungen geworden. Wir handeln damit und handeln es, ohne jeden Tag nachzudenken, und öffnen uns und unsere inneren Datenheiligtümer potenziellen Angreifern, die diese Informationen gegen uns verwenden würden. Das Erkennen von Phishing-Versuchen ist geworden de rigueur für die meisten Internetnutzer. Wenn Sie sich jemals online angemeldet haben, besteht eine gute Chance, dass auch Ihr vollständiger Name, Ihre Privatadresse, Ihre E-Mail-Adresse und Ihre Telefonnummer den Besitzer gewechselt haben. Mit dieser Funktion können Betrüger versuchen, Sie auszunutzen.

Wir denken gerne, wir sind zu schlau, um uns von den offensichtlichen Betrügereien täuschen zu lassen. Dass unser Wissen darüber, wie häufig Phishing-Betrug ausgelöst wird, uns der alten Frau überlegen macht. Bethel die Straße runter, von dem aus keine "nigerianische Prinzessin" zu sehen war eine nachgebildete PayPal-Rechnung So erkennen Sie eine Phishing-E-Mail

Das Abfangen einer Phishing-E-Mail ist schwierig! Betrüger posieren als PayPal oder Amazon und versuchen, Ihr Passwort und Ihre Kreditkarteninformationen zu stehlen. Ihre Täuschung ist nahezu perfekt. Wir zeigen Ihnen, wie Sie den Betrug erkennen können. Weiterlesen . Es könnte sogar etwas wahr sein. Aber die Betrüger ruhen sich nicht aus, und wie wir mit dem Wachstum in gesehen haben Vishing und Smishing Exploits nutzen sie gerne neue Angriffsmethoden, um Ihr Vertrauen auszunutzen.

Worauf sollten Sie achten? Schnelle Tipps und Fakten, die helfen, Vishing und Smishing Scams zu vermeiden Weiterlesen Woher wissen Sie einen Vishing- oder Smishing-Versuch, wenn er eintrifft? Und bist du wahrscheinlich ein Ziel?

Lass uns einen Blick darauf werfen.

Was sind diese neuen Techniken?

Phishing-Versuche erfolgen normalerweise per E-Mail oder Instant Messaging. Das Opfer erhält eine E-Mail oder Sofortnachricht mit einem gefälschten Absenderfeld, das eine Nachricht enthält, die eine sofortige Antwort erfordert. Die betrügerische E-Mail oder Sofortnachricht enthält einen Link, der das Opfer zu einer gefälschten Website führt, auf der es sich normalerweise befindet Geben Sie eine persönliche Information ein, z. B. ein Passwort, ihre Anmeldedaten oder eine andere Identifikation Information.

Während Phishing gab es lange vor dem Internet Was genau ist Phishing und welche Techniken verwenden Betrüger?Ich war selbst noch nie ein Fan des Fischens. Dies ist hauptsächlich auf eine frühe Expedition zurückzuführen, bei der es meinem Cousin gelungen ist, zwei Fische zu fangen, während ich einen Reißverschluss gefangen habe. Ähnlich wie beim echten Fischen sind Phishing-Betrug nicht ... Weiterlesen , unsere Fähigkeit, mit sozialen Medien in Kontakt zu treten, sich per E-Mail mit Menschen zu verbinden und im Allgemeinen Vertrauen zu setzen Online-Systeme, die wir nicht vollständig verstehen (einschließlich Bankgeschäfte), haben eine goldene Periode für potenzielle Kunden eingeläutet Betrüger. Ihr Midas-Touch setzt sich mit der „Einführung“ von fort Vishing und Smishing Exploits Gone Phishing: 5 Sicherheitsbegriffe, die Sie kennen müssenDas Internet ist ein Haifischbecken; Sie sind links und rechts Bedrohungen ausgesetzt. Sie müssen die Risiken verstehen, um sich zu schützen. Hier stellen wir Ihnen die fünf häufigsten Online-Sicherheitsbedrohungen vor. Weiterlesen .

Vishing

Voice Phishing, das als Vishing bezeichnet wird, ist eine gängige elektronische Betrugstechnik, bei der die Nutzung zunimmt. Es beruht weitgehend auf der Tendenz des Opfers, Vertrauen in die Heiligkeit eines Festnetzanschlusses im Vergleich zu anderen Kommunikationsplattformen wie Mobiltelefonen oder E-Mails zu setzen.

#Vishing Anruf überzeugt Burger King Mitarbeiter, Fenster zu zerschlagen https://t.co/4AuCqV6t6A

- Social-Engineer, Inc (@SocEngineerInc) 12. April 2016

Ein Vishing-Angriff hat normalerweise das primäre Ziel, Bankdaten oder andere wichtige Personen zu extrahieren Informationen vom Opfer und werden normalerweise durch automatisches Wählen und Sprachsynthese vervollständigt Ausrüstung. Es gibt jedoch zunehmend Berichte von menschlichen Bedienern, die ihre Opfer dazu drängen, sich von ihren Details zu trennen. Vishing-Angriffe sind in der Regel sehr schwer nachzuvollziehen, insbesondere mit dem Aufkommen extrem billiger Voice-over-IP-Dienste (VoIP) und automatisierter Dienste.

Maine Judicial Branch warnt vor #vishing Betrug mit Betrügern, die sich als Gerichtsangestellte ausgeben https://t.co/zvtfsgBXWV

- Social-Engineer, Inc (@SocEngineerInc) 13. April 2016

Eine übliche Angriffstechnik besteht darin, dass das Opfer einfach den Anruf des Angreifers beantwortet. Sie hören dann das Spiel, für das sich der Betrüger entschieden hat. In der Regel handelt es sich dabei um eine sofort umsetzbare Anfrage bezüglich seiner Kreditkarte oder um ungewöhnliche Bankaktivitäten. Das Opfer erhält dann eine gefälschte Telefonnummer zum Anrufen.

Eines von zwei Dingen tritt jetzt auf. Entweder:

1. Das Opfer wird mit einem automatisierten Sprachsystem empfangen, bei dem das Opfer sein Guthaben eingeben muss Karte, Debitkarte oder andere Bankdaten zusammen mit ihren PIN-Nummern und anderen persönlichen Daten Kennungen, oder
2. Wenn das Opfer anfänglich auflegt, um einen Anruf bei seiner Bank zu tätigen, tut dies der Betrüger nicht. Dies hält die Leitung offen und mit dem Betrüger verbunden. Das Opfer kann dann einen gefälschten Wählton hören, gefolgt vom Betrüger, der das Telefon „beantwortet“. Sie fungieren dann als Bankangestellter und fordern vom Opfer Details zur späteren Verwendung an oder um Geld von einem Konto auf ein neues, „sicheres“ Konto zu leiten.

Abhängig vom Betrug und der Bank können die Opfer einen Teil ihres verlorenen Geldes zurückerhalten, dies ist jedoch keineswegs garantiert. Einige Banken, so herzlos es auch sein mag, lehnen Ansprüche dieser Art ab, da das Opfer mit „grober Fahrlässigkeit“ gehandelt hat, indem es ihre nicht versichert hat eigene Bankensicherheit.

"HSBC hat sich geweigert, das Geld zurückzuerstatten, und argumentiert, dass die echten Bankkarten des Paares (kein Klon) und die richtigen sind Es wurden Stifte verwendet, die gegen die Geschäftsbedingungen der Bank verstoßen haben und grob waren fahrlässig."

Und während das oben genannte Beispiel für verlorene und gestohlene Bankkarten gilt, besteht immer noch ein Geldverlust durch Vishing-Betrug eine legale GrauzoneDie Banken argumentieren, dass ein Teil der Haftung dem Opfer auferlegt werden muss, um seine eigenen Interessen trotz konzertierter Bemühungen von Betrügern aktiv zu schützen.

Smishing

"SMiShing", das Portmanteau von SMS und Phishing, ist der Akt der Verwendung von SMS-Nachrichten, um eine Person zu betrügen. Smishing-Techniken sind relativ analog zu Phishing und Vishing. Das Opfer erhält eine SMS, die angeblich aus einer zuverlässigen, vertrauenswürdigen Quelle stammt.

Die SMS enthält normalerweise auch eine ähnliche Nachricht, bei der sich Angreifer als Bankadministratoren oder Beamte ausgeben, um vor einer kompromittierten Kredit- oder Debitkarte, einem Konto oder einer Identität zu warnen. Das Opfer wird dann aufgefordert, dem in der Nachricht enthaltenen kompromittierten Link oder der Telefonnummer zu folgen, wobei das Opfer den Betrügern die angegebenen Informationen preisgibt.

Wenn Sie einen Text erhalten, der so aussieht, rufen Sie NICHT die Nummer an, sondern rufen Sie direkt Ihre Bank an. #SMiShing#Betrugpic.twitter.com/ZLiYb6PAkw

- Northants Fraud (@NorthantsFraud) 27. April 2016

SMS-Phishing-Opfer sind nicht immer einem Bankbetrug ausgesetzt, wie Sie im obigen Tweet sehen können. Das ist ein Beispiel für die derzeit laufende Smishing-Kampagne aus meiner Heimatstadt. In ähnlicher Weise erhielt 2012 eine große Anzahl von US-Bürgern eine SMS mit Text wie folgt:

„Lieber Walmart-Käufer, herzlichen Glückwunsch, Sie haben gerade eine Walmart-Geschenkkarte im Wert von 1000 USD gewonnen. Klicken Sie hier, um Ihr Geschenk zu erhalten. www.fraudulentwebsiteaddress.com (Abbrechen: STOP) ”

Dieser Betrug nutzte Walmarts Popularität, um die Opfer dazu zu bringen, auf den Link zu klicken, wo sie dann gefragt wurden Eine Reihe von persönlich identifizierenden Fragen, die in einer direkten Anfrage nach Kredit- oder Debitkarte gipfeln Einzelheiten.

Persönliche Daten sind nicht immer das Hauptziel. Einige Smishing-Kampagnen konzentrieren sich auf die Installation von Malware auf dem Telefon des Opfers für eine nachhaltige Datenerfassung Angriff, lieber über einen längeren Zeitraum mehr Informationen sammeln, während das Opfer schmerzhaft bleibt nicht bewusst.

Lass dich nicht erwischen

So hinterhältig und betrügerisch die Betrüger auch sind, Sie können sich mit einer Handvoll Schadensbegrenzungstaktiken ausrüsten. Sie sind alle lächerlich leicht zu merken und sparen Ihnen definitiv Zeit, Geld und jede Menge verschwendeter Energie. Fast alle gelten für jede Form von Phishing.

• Überprüfen und überprüfen Sie die Nummer des Anrufers oder die Quelle der Sofort- oder Textnachricht. Die Nummer könnte gewesen sein gefälscht Was ist E-Mail-Spoofing? Wie Betrüger gefälschte E-Mails fälschenEs sieht so aus, als ob Ihr E-Mail-Konto gehackt wurde, aber diese seltsamen Nachrichten, die Sie nicht gesendet haben, sind tatsächlich auf E-Mail-Spoofing zurückzuführen. Weiterlesen wie eine offizielle Quelle aussehen.
• Auch wenn die Nummer legitim aussieht, verwenden Sie immer eine andere Telefonleitung, wenn Sie aufgefordert werden, eine Nummer zurückzurufen. Dies vermeidet Betrug ohne Auflegen. Verwenden Sie eine Nummer aus einem aktuellen Kontoauszug oder suchen Sie online nach der Hauptnummer des Kundendienstes für Ihre Bank.
• noch nie Geben Sie jedem Ihre Bankdaten telefonisch, egal wie hartnäckig er ist. Deine Bank werde dich nicht fragen Für alle identifizierenden Details, insbesondere nicht für PIN-Nummern, die Sicherheitsnummern auf der Rückseite der Karte oder sogar Ihr Ablaufdatum.
• noch nie Überweisen Sie Geld auf Geheiß eines zufälligen Anrufers auf ein anderes Konto. Deine Bank werde dich nie fragen um dies zu tun. Ebenso schicken sie keinen Kurier zu Ihnen nach Hause, um Ihr Scheckbuch abzuholen. Keine offizielle Institution wird dies tun, es sei denn, Sie werden auf Geheiß des IRS verhaftet.
• Seien Sie äußerst vorsichtig bei unerwünschten Texten Ihrer Bank oder einem anderen vertrauenswürdigen Namen. Solange Sie nicht zuvor mit Ihrer Bank vereinbart haben, dass der SMS-Kontakt in Ordnung ist, wird dies nicht passieren.
• Seien Sie in ähnlicher Weise vorsichtig bei Links, die in einer SMS-Nachricht enthalten sind. Verkürzte Links können Sie überall hin bringen, und es gibt kaum eine Möglichkeit zu wissen, was passieren wird, wenn auf diesen Link getippt oder geklickt wird.

Am meisten, wachsam sein. Wenn Sie sich nicht sicher sind, einfach auflegen. Wenn es sich um einen unerwünschten Text handelt, ignoriere es. Vishing- und Smishing-Social-Engineering-Techniken beruhen auf demselben Vertrauensmissbrauch wie Phishing. Schon während ich diesen Artikel schrieb, erhielt ich folgende E-Mail:

Jetzt, Ich weiß, dass die E-Mail-Adresse gefälscht ist 5 Beispiele, die Ihnen helfen, einen Betrug oder eine gefälschte E-Mail zu erkennenDie Verlagerung von Spam zu Phishing-Angriffen ist spürbar und nimmt zu. Wenn es ein einziges Mantra gibt, das man sich merken sollte, dann ist es dieses - die Verteidigung Nummer eins gegen Phishing ist das Bewusstsein. Weiterlesen . Warum? Weil es unter dieser URL nur zwei Personen mit E-Mail-Adressen gibt und eine von ihnen meine ist. Der Anhang ist auch ein totales Werbegeschenk.

Die Technologie wird niemals die 100% ige Abschreckung bieten, die wir uns wünschen. Es wird die Betrüger auch nicht 100% der Zeit erkennen. Technologie kann Ihnen einen hervorragenden Ausgangspunkt bieten, aber wie bei fast allem im Leben, es sei denn, Sie verpflichten sich selbst Mit der gebotenen Sorgfalt und dem Versuch, kritisch über eingehende Mitteilungen nachzudenken, bereiten Sie sich auf ein wirklich schlechtes Ergebnis vor Zeit.

Wurden Sie Opfer eines Vishing- oder Smishing-Betrugs? Wussten Sie sofort oder erst, als Ihre Konten kompromittiert wurden? Wissen Sie, wonach Sie jetzt suchen müssen? Lass es uns unten wissen!