กลโกงฟิชชิ่งประกันสังคม

แคมเปญฟิชชิ่งที่กำหนดเป้าหมายหมายเลขประกันสังคม (SSN) ของผู้ใช้ได้รับการเปิดเผยโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ระยะเริ่มต้นของแคมเปญหลอกลวงประกอบด้วยการเผยแพร่อีเมลหลอกลวงที่นำเสนอราวกับว่าถูกส่งโดยสำนักงานประกันสังคมของสหรัฐอเมริกา อย่างไรก็ตาม ผู้ส่งจริงเป็นเพียงที่อยู่ Gmail แบบสุ่ม รายละเอียดเกี่ยวกับการดำเนินการฟิชชิ่งถูกเปิดเผยในรายงานโดยนักวิจัยของบริษัทรักษาความปลอดภัยอีเมล INKY

จากผลการวิจัยพบว่า อีเมลหลอกลวงของแคมเปญฟิชชิ่งพยายามสร้างความรู้สึกเร่งด่วนจากหัวเรื่อง มักจะมีที่อยู่อีเมลของผู้ใช้ Case ID หรือ Docket Number เพื่อพยายามให้ปรากฏเป็นการสื่อสารอย่างเป็นทางการเกี่ยวกับปัญหาร้ายแรง หัวเรื่องของอีเมลอาจบอกเป็นนัยว่า SSN ของผู้ใช้เชื่อมโยงกับกิจกรรมที่น่าสงสัย หรือจะถูกยกเลิก ยุติ ระงับ ฯลฯ ในไม่ช้า

อีเมลยังมีไฟล์ PDF ที่แนบมาด้วย ไฟล์ไม่ได้เป็นอันตราย แต่มันเพิ่มความชอบธรรมอีกชั้นหนึ่ง เมื่อเปิดออก เอกสารจะแสดงโลโก้ของ Social Security Administration และ Case Number อย่างเด่นชัด ข้อความและสถานการณ์ที่นำเสนอในไฟล์ PDF อาจแตกต่างกันไป แต่จะสนับสนุนให้ผู้รับที่ไม่สงสัยติดต่อหมายเลขโทรศัพท์ที่ให้ไว้เสมอ ซึ่งอธิบายว่าเป็นของหน่วยงาน

ผู้ใช้จะติดต่อทั้งผู้หลอกลวงหรือผู้ปฏิบัติงานแทน การเพิ่มวิธีการนี้เรียกว่า vishing (voice phishing) สามารถเพิ่มจำนวนผู้ที่ตกเป็นเหยื่อการหลอกลวงได้อย่างมาก เมื่อพวกเขาอยู่ในสายงานแล้ว ผู้ใช้อาจถูกขอให้ให้รายละเอียดส่วนบุคคลที่ละเอียดอ่อนผ่านกลวิธีทางวิศวกรรมสังคมต่างๆ เหยื่ออาจถูกขอให้ตรวจสอบหมายเลขประกันสังคมรวมทั้งระบุวันเกิดและชื่อให้กับผู้ให้บริการโทรศัพท์ ผู้ใช้อาจถูกขอให้ระบุข้อมูลธนาคารหรือชำระค่าธรรมเนียมปลอมในรูปแบบของบัตรของขวัญหรือสกุลเงินดิจิทัลเฉพาะ