Стандартне шахрайство електронною поштою з винагородами банку UCount

Оскільки цифрова тактика стає все більш витонченою, пильність під час перегляду веб-сторінок і перевірки електронної пошти ніколи не була такою важливою. Кіберзлочинці постійно розробляють нові тактики маніпулювання користувачами, які нічого не підозрюють, часто використовуючи довіру до авторитетних установ. Однією з таких шахрайських схем, які зараз поширені, є шахрайство електронною поштою Standard Bank UCount Rewards, шахрайська спроба отримати банківські облікові дані та особисту інформацію за допомогою тактики фішингу.

Помилкові обіцянки нагородних балів UCount

Дослідники безпеки, які аналізують це шахрайство, підтвердили, що електронні листи неправдиво надійшли від Standard Bank. Вони повідомляють одержувачам, що їм нараховано 200 000 бонусних балів UCount — передбачуваний подарунок, який можна обміняти на різних заправних станціях, зокрема Sasol, BP, Shell і Engen Petroleum. Повідомлення заохочує одержувачів натиснути посилання з позначкою «НАТИСНІТЬ ТУТ, ЩОБ АКТИВАТИВАТИ», щоб отримати винагороду.

Ця приваблива пропозиція повністю вигадана. Standard Bank не має зв’язку з цими електронними адресами, і такі винагороди не видаються. Єдина мета цієї схеми — змусити одержувачів натиснути вбудоване посилання, яке спрямовує їх на фішинговий веб-сайт, створений для імітації порталу входу Standard Bank.

Оманлива тактика фішингу

Фішинговий веб-сайт, посилання на який наведено в електронному листі, створено так, щоб віддзеркалювати зовнішній вигляд законної сторінки входу в онлайн-банкінг Standard Bank, що ускладнює для користувачів розрізнення між справжніми та шахрайськими сайтами. Якщо жертва вводить свої облікові дані, дані негайно передаються кіберзлочинцям, які можуть використовувати їх для неавторизованих транзакцій, крадіжки особистих даних або навіть для доступу до інших пов’язаних облікових записів.

Окрім фінансової крадіжки, скомпрометовані облікові дані можуть дозволити злочинцям:

• Змініть банківські реквізити, щоб перенаправити кошти або змінити налаштування автентифікації.
• Вимагайте позики або кредит від імені жертви, що призведе до серйозних фінансових наслідків.
• Отримувати доступ і зловживати іншими пов’язаними обліковими записами в Інтернеті, зокрема електронною поштою, соціальними мережами та хмарним сховищем.

Додаткові ризики: більше, ніж просто фішинг

Хоча ця конкретна тактика в основному зосереджена на зборі банківських облікових даних, фішингові електронні листи часто використовуються для ширшої діяльності кіберзлочинців, наприклад:

• Збирання особистої інформації (PII) – шахраї можуть вимагати інші дані, такі як адреси, номери телефонів та ідентифікаційні номери, щоб вчинити шахрайство з особистими даними.

• Розповсюдження зловмисного програмного забезпечення . Деякі фішингові електронні листи містять заражені вкладення або посилання, які можуть інсталювати шкідливе програмне забезпечення на пристрій користувача, що потенційно може призвести до витоку даних або атак програм-вимагачів.

• Продаж скомпрометованих облікових записів . Зібрані облікові дані часто продаються на незаконних ринках, що дозволяє багатьом кіберзлочинцям використовувати їх.

Як розпізнати та уникнути фішингових електронних листів

Кіберзлочинці постійно вдосконалюють свою тактику, щоб зробити фішингове шахрайство більш переконливим. Однак розпізнавання основних попереджувальних знаків може допомогти користувачам розпізнавати ці шахрайські повідомлення та уникати їх:

• Загальні привітання – справжні банківські електронні листи зазвичай звертаються до клієнтів на їхнє повне ім’я, тоді як у фішингових електронних листах часто використовуються розпливчасті привітання на зразок «Шановний клієнте».
• Термінова мова – шахраї створюють відчуття терміновості, змушуючи одержувачів діяти швидко, перш ніж термін дії пропозиції закінчиться.
• Сумнівні посилання – наведення курсора на посилання (без натискання) може виявити URL-адресу, яка не належить до офіційного домену банку.
• Незвичайні адреси відправника – електронні листи з неперевіреного або неофіційного домену (наприклад, «standardbank-rewards.com» замість «standardbank.co.za») вказують на шахрайство.
• Погана граматика та форматування . Фішингові повідомлення часто містять орфографічні помилки, незграбні фрази або непослідовне брендування.

Що робити, якщо ви вже стали жертвою

Якщо ви вже ввели свої облікові дані на фішинговому сайті, негайно вживіть заходів, щоб обмежити потенційну шкоду:

• Створіть новий пароль онлайн-банкінгу та ввімкніть двофакторну автентифікацію (2FA), якщо вона доступна.
• Відстежуйте свій банківський рахунок на наявність несанкціонованих транзакцій і повідомляйте про підозрілу активність офіційній команді підтримки Standard Bank.
• Негайно зверніться до свого банку. Вони можуть заморозити ваш рахунок або запобігти шахрайським транзакціям.
• Повідомити про фішинговий електронний лист. Перешліть повідомлення до відділу боротьби з шахрайством вашого банку та до органів кібербезпеки, щоб запобігти подальшим атакам.

Останні думки: будьте обережні, залишайтеся в безпеці

Електронне шахрайство Standard Bank UCount Rewards є ще одним прикладом того, як кіберзлочинці полюють на нічого не підозрюючих користувачів за допомогою обманної тактики. Будьте в курсі та обережні з небажаними електронними листами, особливо з тими, що обіцяють винагороди, повернення коштів або термінові дії в обліковому записі, можна запобігти фінансовим втратам і захистити конфіденційні дані. Перевіряючи повідомлення через офіційні канали та уникаючи незнайомих посилань, користувачі можуть посилити свій захист від спроб фішингу та онлайн-шахрайства.