Οι εγκληματίες του κυβερνοχώρου εφαρμόζουν επιθέσεις social engineering, με στόχο να εξαπατήσουν τους Αμερικανούς χρήστες εφαρμογών ψηφιακών πληρωμών ώστε να κάνουν άμεσες μεταφορές χρημάτων.
Δείτε επίσης: Οι social engineering επιθέσεις θα κυριαρχήσουν σε web3 και metaverse
Όπως ανακοίνωσε το FBI την Πέμπτη, οι επιτιθέμενοι καλούν τα θύματα που απαντούν σε μηνύματα ηλεκτρονικού ψαρέματος από αριθμούς τηλεφώνου, που πλαστογραφούν τον νόμιμο αριθμό υποστήριξης 1-800 των τραπεζών.
«Με το πρόσχημα της αντιστροφής της πλαστής μεταφοράς χρημάτων, τα θύματα εξαπατούνται να στέλνουν πληρωμές σε τραπεζικούς λογαριασμούς υπό τον έλεγχο των κυβερνοεγκληματιών», ανέφερε το FBI.
Οι ψεύτικες ειδοποιήσεις απάτης αναφέρουν το ποσό πληρωμής και τα ονόματα των χρηματοπιστωτικών ιδρυμάτων και ζητούν από τους στόχους να επιβεβαιώσουν εάν προσπάθησαν να πραγματοποιήσουν άμεσες πληρωμές χιλιάδων δολαρίων.
Εάν οι παραλήπτες απαντήσουν στο SMS ηλεκτρονικού “ψαρέματος” και αρνηθούν ότι πραγματοποίησαν μια τέτοια πληρωμή, θα λάβουν ένα δεύτερο μήνυμα που θα λέει ότι θα επικοινωνήσουν μαζί τους “σύντομα”.
Οι απατεώνες καλούν όπως υποσχέθηκαν, μιλώντας συνήθως αγγλικά χωρίς προφορά και ισχυρίζονται ότι εκπροσωπούν το τμήμα τραπεζικής απάτης του στόχου.
Ο τελικός στόχος είναι να εξαπατήσου τα θύματα ώστε να «αντιτρέψουν» την ψεύτικη συναλλαγή άμεσης πληρωμής, ζητώντας τους να αφαιρέσουν τη διεύθυνση email τους από την εφαρμογή πληρωμής και να την επισυνάψουν σε μία που βρίσκεται υπό τον έλεγχο των εισβολέων.
Δείτε ακόμα: Τι είναι το Social Engineering, ποιες οι τεχνικές του και πως να προστατευτείτε;
Πιστεύοντας ότι στέλνουν τη συναλλαγή στον εαυτό τους, τα θύματα στην πραγματικότητα στέλνουν συναλλαγές άμεσων πληρωμών από τον τραπεζικό τους λογαριασμό στον τραπεζικό λογαριασμό που ελέγχεται από τους εγκληματίες.
Οι ανταλλαγές μεταξύ των απατεώνων και των θυμάτων τους μπορεί να διαρκέσουν αρκετές ημέρες, δείχνοντας την αποφασιστικότητα των απατεώνων να πραγματοποιήσουν την επίθεση social engineering τους.
Το FBI μοιράστηκε επίσης μια λίστα με μέτρα που πρέπει να λάβουν οι Αμερικανοί που χρησιμοποιούν εφαρμογές ψηφιακών πληρωμών για να μην πέσουν θύματα μιας από αυτές τις απάτες:
- Να είστε προσεκτικοί με αυτόκλητα αιτήματα για επαλήθευση πληροφοριών λογαριασμού. Οι φορείς του κυβερνοχώρου μπορούν να χρησιμοποιούν διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου που μπορεί στη συνέχεια να φαίνεται ότι προέρχονται από ένα νόμιμο χρηματοπιστωτικό ίδρυμα. Εάν λάβετε κλήση ή μήνυμα κειμένου σχετικά με πιθανή απάτη ή μη εξουσιοδοτημένες μεταφορές, μην απαντήσετε απευθείας.
- Εάν ληφθεί αυτόκλητο αίτημα για επαλήθευση των στοιχείων λογαριασμού, επικοινωνήστε με το τμήμα απάτης του χρηματοπιστωτικού ιδρύματος μέσω επαληθευμένων αριθμών τηλεφώνου και διευθύνσεων ηλεκτρονικού ταχυδρομείου σε επίσημους ιστότοπους της τράπεζας, όχι μέσω αυτών που παρέχονται σε μηνύματα κειμένου ή email.
- Ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους οικονομικούς λογαριασμούς και μην παρέχετε κωδικούς MFA ή κωδικούς πρόσβασης σε κανέναν μέσω τηλεφώνου.
- Κατανοήστε ότι τα χρηματοπιστωτικά ιδρύματα δεν θα ζητήσουν από τους πελάτες να μεταφέρουν κεφάλαια μεταξύ λογαριασμών προκειμένου να αποτρέψουν μια απάτη.
Δείτε επίσης: Datasploit το πρώτο εργαλείο για social engineering
Τέλος οι χρήστες παροτρύνονται να είναι δύσπιστοι με τους καλούντες που παρέχουν στοιχεία προσωπικής ταυτοποίησης, όπως αριθμούς κοινωνικής ασφάλισης και προηγούμενες διευθύνσεις, ως απόδειξη της νομιμότητάς τους. Ο πολλαπλασιασμός των παραβιάσεων δεδομένων μεγάλης κλίμακας την τελευταία δεκαετία έχει εφοδιάσει τους εγκληματίες με τεράστιες ποσότητες προσωπικών δεδομένων, τα οποία μπορεί να χρησιμοποιηθούν επανειλημμένα σε μια ποικιλία απατών.
