Oszustwo phishingowe w zakresie zabezpieczenia społecznego
Eksperci ds. cyberbezpieczeństwa odkryli kampanię phishingową, której celem są numery ubezpieczenia społecznego (SSN) użytkowników. Początkowy etap kampanii oszustwa polega na rozpowszechnianiu e-maili z przynętą przedstawianych tak, jakby były wysyłane przez US Social Security Administration. Jednak prawdziwym nadawcą jest tylko losowy adres Gmaila. Szczegóły dotyczące operacji phishingowych zostały ujawnione w raporcie opracowanym przez badaczy z firmy INKY zajmującej się bezpieczeństwem poczty e-mail.
Zgodnie z ich ustaleniami, e-maile z przynętą w ramach kampanii phishingowej próbują stworzyć poczucie pilności już w temacie. Często zawierają adres e-mail użytkownika, identyfikator sprawy lub numer dowodu, co ma na celu przedstawienie oficjalnej wiadomości dotyczącej poważnego problemu. Wiersze tematu wiadomości e-mail mogą sugerować, że numer SSN użytkownika został połączony z podejrzaną aktywnością lub że wkrótce zostanie odrzucony, przerwany, zawieszony itp.
E-maile zawierają również załączony plik PDF. Plik nie jest złośliwy, ale dodaje kolejną rzekomą warstwę legalności. Po otwarciu dokument będzie zawierał wyraźnie widoczne logo Urzędu Ubezpieczeń Społecznych i konkretny numer sprawy. Tekst i scenariusz przedstawiony w pliku PDF może się różnić, ale zawsze będzie zachęcał niczego niepodejrzewających odbiorców do kontaktu pod podanym numerem telefonu, określanym jako należący do agencji.
Zamiast tego użytkownicy będą kontaktować się z oszustami lub operatorem pracującym dla nich. Dodanie tej metody znanej jako vishing (phishing głosowy) może drastycznie zwiększyć liczbę osób padających ofiarą oszustwa. Użytkownicy mogą zostać poproszeni o podanie poufnych danych osobowych, korzystając z różnych taktyk socjotechnicznych. Ofiary mogą zostać poproszone o zweryfikowanie numeru ubezpieczenia społecznego, a także podanie daty urodzenia i nazwiska operatorom telefonicznym. Użytkownicy mogą zostać poproszeni o podanie informacji bankowych lub uiszczenie fikcyjnej opłaty w postaci kart podarunkowych lub określonej kryptowaluty.
