Et Citibank phishing-fidus forsøger at udtrække personlige oplysninger

Citibank Phishing Attack

Endnu en phishing-scam, der målrettede Citibank-kunder, gennemførte for nylig runderne. Det blev opdaget af en forsker, der ledes af Twitter-grebet MalwareHunterTeam, og cybersecurity-nyhedswebstedet BleepingComputer rapporterede også om det. MalwareHunterTeam meddelte på Twitter, at siden nu er blevet fjernet, men at undersøge fidus kan stadig være fordelagtigt, fordi det vil give os en idé om de smarte teknikker, som phisherne bruger i dag, og det kan også vise os, hvilken slags fejl de lave. Der var masser af smarte funktioner og et par fejl i netop denne kampagne.

Desværre ved vi ikke, hvem der organiserede angrebet, og vi har ingen idé om, hvilken slags socialtekniske tricks de plejede at lokke ofre til phishing-siden. Mest sandsynligt begynder fidus med en e-mail, men andre tricks er også blevet brugt i fortiden. Det, vi ved, er, at phishing-siden plejede at være vært på update-citi [.] Com, og at den så ganske overbevisende ud.

En phishing-kampagne, der indsamler et væld af personlige oplysninger

Skærmbillederne, MalwareHunterTeam delte på Twitter, viser, at folk, der faldt for fidus, gennemgik en hel del trin. Først er selvfølgelig den falske login-side, der beder offeret om brugernavn og adgangskode til deres bankkonto. Når loginoplysninger overleveres, stopper den ondsindede side dog ikke med at anmode om oplysninger.

Offeret bliver bedt om at udfylde en formular med deres navn, fødselsdato, fysisk adresse og de sidste fire cifre i deres personnummer. Derefter skal de indtaste deres bankkortoplysninger i en anden form. Når det er gjort, fortæller siden dem, at den prøver at autentificere dem - en proces, der kan tage op til et minut.

I virkeligheden er ingen helt sikker på, hvad der sker i denne periode, men forskerne spekulerer i, at mens offeret venter på at blive "godkendt", prøver skurkerne at bruge de angivne loginoplysninger til at bryde ind på deres konto. Naturligvis kan de ikke straks kompromittere konti for kunder, der har aktiveret tofaktorautentisering (2FA), men det forhindrer dem ikke i at prøve.

Citibank registrerer loginforsøget, og offeret modtager en engangs-PIN (OTP) som en SMS. Efter et øjeblik anmoder phishing-siden om OTP, ligesom Citibank ville. Fordi de tror, de logger på det rigtige sted, overleverer kunden det og omdirigeres til det rigtige Citibank-websted. I mellemtiden har phisherne alle de oplysninger, de har brug for for at kompromittere brugerens konto.

De smarte funktioner

Det mest bemærkelsesværdige ved denne kampagne er det faktum, at den forsøger at omgå Citibanks 2FA-system. To-faktor-godkendelse betragtes ofte som brugerens eneste håb i et phishing-scenarie, men i dette tilfælde lykkedes det skurkerne at forhandle omkring det på en ret overbevisende måde.

De fik phishing-siden til at ligne den rigtige aftale. Logoerne og skrifttyperne ser ægte ud, og layoutet ligner temmelig Citibanks online portal. Phisherne installerede også et SSL-certifikat på siden, hvilket betød, at browsere viste låseikonet i adresselinjen. I årevis har hængelåsen været upålidelig som et tegn på et websteds legitimitet, men nogle mennesker tror fortsat, at det kan garantere deres sikkerhed.

Som du kan se, besluttede phishing-besætningen, der startede angrebet, ikke at stoppe ved login-dataene og bede ofrene om en hel del andre personlige og økonomiske detaljer. Dette betyder, at selv efter kunden er klar over, at de er blevet svindlet og sikrer deres konto, vil phisherne stadig have nok information til at udføre identitetstyveri.

Det må dog siges, at denne "in for a penny, in for a pund" -strategi kan slå tilbage, hvis det potentielle offer er mere forsigtig, hvem de giver deres data til.

Fejlene

Det faktum, at vi ikke ved, hvordan det faktiske angreb begynder, betyder, at vi ikke har hele installationen af socialteknologi. Uanset hvad det er, er det usandsynligt, at Citibank beder om de eksisterende kunders personlige oplysninger, og det er endnu mindre sandsynligt, at de anmoder om oplysningerne om de kreditkort, den har udstedt. Hvis du husker dette, er du en bedre chance for at indse, at der er noget galt, og klikke på "Luk" -knappen, før det er for sent.

De mere observante brugere vil også bemærke de grammatiske og typografiske fejl, der kan ses på næsten hver side. Det er ironisk, hvordan skurkerne fortsætter med at lægge mere og mere tid og kræfter på den tekniske side af deres kampagner, og alligevel ser de ud til at være uvillige til at investere i et par grammatiske lektioner. Niveauet for skriftligt engelsk for den gennemsnitlige phisher er så lavt, at skrivefejl og akavede sætninger nu udgør en temmelig pålidelig indikator for en fidus. De er dog ikke så pålidelige som URL’en.

Faktisk kan hvert vellykket phishing-angreb forebygges med lidt mere opmærksomhed på adresselinjen. Mange mennesker har allerede lært sig selv at kigge efter det grønne hængelåsikon, men det ser ikke ud til at være opmærksom på selve domænet. Phisherne har en taktik kaldet typosquatting, som involverer at bruge domæner, der ligner temmelig meget som den rigtige ting, men selv dette vil ikke være nok til at narre dig, hvis du er forsigtig.

Phishing er en simpel form for cyberkriminalitet, og at beskytte dig selv involverer ikke nogen særlig komplekse værktøjer eller teknikker. I sidste ende kan man være forsigtig og tage et sekund for at sikre sig, at alt er i orden, kan det betyde forskellen mellem at give dine data væk og at holde dem sikre.

January 24, 2020
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.