Απάτη phishing κοινωνικής ασφάλισης

Μια καμπάνια phishing που στοχεύει τους Αριθμούς Κοινωνικής Ασφάλισης (SSN) των χρηστών αποκαλύφθηκε από ειδικούς στον τομέα της ασφάλειας στον κυβερνοχώρο. Το αρχικό στάδιο της εκστρατείας απάτης αποτελείται από τη διάδοση μηνυμάτων ηλεκτρονικού ταχυδρομείου που παρουσιάζονται σαν να έχουν σταλεί από την Υπηρεσία Κοινωνικής Ασφάλισης των ΗΠΑ. Ωστόσο, ο πραγματικός αποστολέας είναι απλώς μια τυχαία διεύθυνση Gmail. Λεπτομέρειες σχετικά με τις λειτουργίες phishing αποκαλύφθηκαν σε μια αναφορά των ερευνητών της εταιρείας ασφάλειας email INKY.

Σύμφωνα με τα ευρήματά τους, τα δελεαστικά email της εκστρατείας phishing προσπαθούν να δημιουργήσουν μια αίσθηση επείγοντος από τη γραμμή θέματός τους. Συχνά περιέχουν τη διεύθυνση email του χρήστη, το Case ID ή έναν Docket Number σε μια προσπάθεια να εμφανιστούν ως επίσημη επικοινωνία σχετικά με ένα σοβαρό ζήτημα. Οι γραμμές θέματος των μηνυμάτων ηλεκτρονικού ταχυδρομείου ενδέχεται να υπονοούν ότι το SSN του χρήστη έχει συνδεθεί με ύποπτη δραστηριότητα ή ότι σύντομα θα απορριφθεί, θα διακοπεί, θα τεθεί σε αναστολή κ.λπ.

Τα email φέρουν επίσης ένα συνημμένο αρχείο PDF. Το αρχείο δεν είναι κακόβουλο, αλλά προσθέτει ένα άλλο υποτιθέμενο επίπεδο νομιμότητας. Όταν ανοίξει, το έγγραφο θα εμφανίζει σε εμφανές σημείο το λογότυπο της Υπηρεσίας Κοινωνικής Ασφάλισης και έναν συγκεκριμένο αριθμό υπόθεσης. Το κείμενο και το σενάριο που παρουσιάζονται στο αρχείο PDF μπορεί να διαφέρουν, αλλά θα ενθαρρύνει πάντα τους ανυποψίαστους παραλήπτες να επικοινωνήσουν με έναν αριθμό τηλεφώνου που παρέχεται, που περιγράφεται ότι ανήκει στην υπηρεσία.

Αντίθετα, οι χρήστες θα επικοινωνούν είτε με τους απατεώνες είτε με έναν χειριστή που εργάζεται για αυτούς. Η προσθήκη αυτής της μεθόδου γνωστής ως vishing (φωνητικό ψάρεμα) θα μπορούσε να αυξήσει δραστικά τον αριθμό των ατόμων που πέφτουν στην απάτη. Μόλις βρεθούν στη γραμμή, θα μπορούσε να ζητηθεί από τους χρήστες να παράσχουν ευαίσθητα προσωπικά στοιχεία μέσω διαφόρων τακτικών κοινωνικής μηχανικής. Θα μπορούσε να ζητηθεί από τα θύματα να επαληθεύσουν τον αριθμό κοινωνικής ασφάλισής τους καθώς και να δηλώσουν την ημερομηνία γέννησης και το όνομά τους στις τηλεφωνικές εταιρείες. Θα μπορούσε να ζητηθεί από τους χρήστες να παράσχουν τα τραπεζικά τους στοιχεία ή να πληρώσουν ένα ψεύτικο τέλος με τη μορφή δωροκάρτας ή συγκεκριμένου κρυπτονομίσματος.