Social Security Phishing Scam

Natuklasan ng mga dalubhasa sa cybersecurity ang isang kampanyang phishing na nagta-target sa Mga Numero ng Social Security (SSN) ng mga user. Ang unang yugto ng kampanya ng scam ay binubuo ng pagpapakalat ng mga email na pang-akit na ipinakita na parang ipinadala ng US Social Security Administration. Gayunpaman, ang tunay na nagpadala ay isang random na Gmail address lamang. Ang mga detalye tungkol sa mga pagpapatakbo ng phishing ay inihayag sa isang ulat ng mga mananaliksik sa kumpanya ng seguridad ng email na INKY.

Ayon sa kanilang mga natuklasan, ang mga pang-akit na email ng kampanyang phishing ay sumusubok na lumikha ng isang pakiramdam ng pagkaapurahan mula mismo sa kanilang linya ng paksa. Madalas na naglalaman ang mga ito ng email address, Case ID, o Docket Number ng user sa pagtatangkang lumabas bilang opisyal na komunikasyon tungkol sa isang seryosong isyu. Ang mga linya ng paksa ng mga email ay maaaring magpahiwatig na ang SSN ng user ay konektado sa kahina-hinalang aktibidad o na malapit na itong itapon, ititigil, masuspinde, atbp.

Ang mga email ay nagdadala din ng isang naka-attach na PDF file. Ang file ay hindi nakakapinsala ngunit nagdaragdag ito ng isa pang dapat na layer ng pagiging lehitimo. Kapag binuksan, kitang-kita ng dokumento ang logo ng Social Security Administration at isang partikular na Case Number. Maaaring mag-iba ang text at senaryo na ipinakita sa PDF file ngunit palagi nitong hikayatin ang mga hindi mapag-aalinlanganang tatanggap na makipag-ugnayan sa ibinigay na numero ng telepono, na inilarawan bilang pag-aari ng ahensya.

Sa halip, ang mga user ay makikipag-ugnayan sa alinman sa mga scammer o isang operator na nagtatrabaho para sa kanila. Ang pagdaragdag ng paraang ito na kilala bilang vishing (voice phishing) ay maaaring tumaas nang husto sa bilang ng mga taong mahuhulog sa scam. Kapag nasa linya na sila, maaaring hilingin sa mga user na magbigay ng mga sensitibong personal na detalye sa pamamagitan ng iba't ibang mga taktika sa social-engineering. Maaaring hilingin sa mga biktima na i-verify ang kanilang social security number gayundin ang kanilang petsa ng kapanganakan at pangalan sa mga operator ng telepono. Maaaring hilingin sa mga user na ibigay ang kanilang impormasyon sa bangko o magbayad ng bogus fee sa anyo ng mga gift card o isang partikular na cryptocurrency.