Truffa di phishing della previdenza sociale

Una campagna di phishing mirata ai numeri di previdenza sociale (SSN) degli utenti è stata scoperta da esperti di sicurezza informatica. La fase iniziale della campagna di truffa consiste nella diffusione di e-mail di richiamo presentate come se fossero state inviate dalla US Social Security Administration. Tuttavia, il vero mittente è solo un indirizzo Gmail casuale. I dettagli sulle operazioni di phishing sono stati rivelati in un rapporto dei ricercatori della società di sicurezza della posta elettronica INKY.

Secondo le loro scoperte, le email di richiamo della campagna di phishing cercano di creare un senso di urgenza fin dall'oggetto. Spesso contengono l'indirizzo e-mail dell'utente, l'ID del caso o un numero di docket nel tentativo di apparire come comunicazione ufficiale su un problema serio. Le righe dell'oggetto delle e-mail possono implicare che il SSN dell'utente è stato collegato ad attività sospette o che sarà presto eliminato, interrotto, sospeso, ecc.

Le e-mail contengono anche un file PDF allegato. Il file non è dannoso ma aggiunge un altro presunto livello di legittimità. Una volta aperto, il documento presenterà in primo piano il logo dell'amministrazione della previdenza sociale e un numero di caso specifico. Il testo e lo scenario presentati nel file PDF possono variare ma incoraggerà sempre gli ignari destinatari a contattare un numero di telefono fornito, descritto come appartenente all'agenzia.

Invece, gli utenti contatteranno i truffatori o un operatore che lavora per loro. L'aggiunta di questo metodo noto come vishing (voice phishing) potrebbe aumentare drasticamente il numero di persone che cadono nella truffa. Una volta che sono in linea, agli utenti potrebbe essere chiesto di fornire dettagli personali sensibili tramite varie tattiche di ingegneria sociale. Alle vittime potrebbe essere chiesto di verificare il proprio numero di previdenza sociale, nonché di comunicare agli operatori telefonici la data di nascita e il nome. Agli utenti potrebbe essere chiesto di fornire le proprie informazioni bancarie o di pagare una commissione falsa sotto forma di buoni regalo o una criptovaluta specifica.