シティバンクのフィッシング詐欺が個人情報の抽出を試みます
さらに、シティバンクの顧客を標的とする別のフィッシング詐欺が最近行われました。 TwitterのハンドルMalwareHunterTeamにアクセスする研究者によって発見され、サイバーセキュリティニュースWebサイトBleepingComputerも報告しました。 MalwareHunterTeamはTwitterでページが削除されたと発表しましたが、フィッシング詐欺師が最近使用している巧妙なテクニックを知ることができるため、詐欺を調べることは有益である可能性があります。作る。この特定のキャンペーンには、多くの巧妙な機能といくつかのミスがありました。
残念ながら、誰が攻撃を組織したかはわかりません。また、彼らがフィッシングページに被害者を誘導するためにどのようなソーシャルエンジニアリングのトリックを使用したのかわかりません。ほとんどの場合、詐欺は電子メールで始まりますが、他のトリックも過去に使用されています。フィッシングページは、以前update-citi [。] comでホストされていたため、非常に説得力があるように見えました。
Table of Contents
大量の個人情報を収集するフィッシングキャンペーン
MalwareHunterTeamがTwitterで共有したスクリーンショットは、詐欺に陥った人々がかなりの手順を踏んだことを示しています。もちろん、最初は偽のログインページで、被害者に銀行口座のユーザー名とパスワードを要求します。ただし、ログイン資格情報が引き渡されると、悪意のあるページは情報の要求を停止しません。
被害者は、名前、生年月日、住所、社会保障番号の最後の4桁のフォームに記入するよう求められます。その後、銀行カードの詳細を別のフォームに入力する必要があります。それが完了すると、ページはそれらを認証しようとしていることを伝えます。これには1分ほどかかる場合があります。
現実には、その期間に何が起こっているのか誰もよくわかりませんが、研究者は、被害者が「認証」されるのを待っている間、詐欺師は提供されたログイン資格情報を使用してアカウントに侵入しようとしていると推測しています。もちろん、 2要素認証 (2FA)を有効にしている顧客のアカウントをすぐに侵害することはできませんが、それによって試行が停止されることはありません。
シティバンクはログイン試行を検出し、被害者はワンタイムPIN(OTP)をSMSとして受け取ります。数分後、フィッシングページは、シティバンクのようにOTPを要求します。彼らは正しい場所でログインしていると思うので、顧客はそれを引き渡し、実際のシティバンクのウェブサイトにリダイレクトされます。一方、フィッシング詐欺師は、ユーザーのアカウントを侵害するために必要なすべての情報を持っています。
賢い機能
このキャンペーンで最も注目すべきことは、シティバンクの2FAシステムをバイパスしようとするという事実です。多くの場合、2要素認証はフィッシングシナリオでのユーザーの唯一の希望であると考えられていますが、この場合、詐欺師はかなり説得力のある方法でそれを回避することができました。
フィッシングページも本物のように見えました。ロゴとフォントは本物に見え、レイアウトはシティバンクのオンラインポータルに非常に似ています。フィッシング詐欺師は、ページにSSL証明書もインストールしたため、ブラウザーのアドレスバーにロックアイコンが表示されていました。長年、南京錠はウェブサイトの合法性の兆候として信頼できませんでしたが、一部の人々はそれが彼らの安全を保証できると考え続けています。
ご覧のように、攻撃を開始したフィッシングクルーは、ログインデータに立ち止まらず、被害者に個人的および金銭的な詳細をいくつか求めることを決定しました。これは、顧客が詐欺に遭ってアカウントを保護したことに気付いた後でも、フィッシング詐欺師は個人情報の盗難を実行するのに十分な情報を保持していることを意味します。
ただし、潜在的な被害者がデータの提供先をより慎重にすると、この「一銭で、一ポンドで」戦略が裏目に出る可能性があると言わなければなりません。
間違い
実際の攻撃がどのように開始されるのかわからないということは、ソーシャルエンジニアリングの設定がすべて揃っていないことを意味します。ただし、シティバンクが既存の顧客の個人情報を要求する可能性は低く、発行されたクレジットカードの詳細を要求する可能性はさらに低くなります。これを念頭に置いておくと、何かがおかしいことに気付き、手遅れになる前に「閉じる」ボタンをクリックする可能性が高くなります。
より注意深いユーザーは、ほぼすべてのページで見られる文法的および誤植にも気づくでしょう。詐欺師たちがキャンペーンの技術面にますます多くの時間と労力を注ぎ続けているのは皮肉なことですが、それでも彼らはいくつかの文法レッスンに投資したくないようです。平均的なフィッシャーの書かれた英語のレベルは非常に低いので、タイプミスや厄介なフレーズは詐欺のかなり信頼できる指標を構成しています。ただし、URLほど信頼性は高くありません。
実際、フィッシング攻撃が成功するたびに、アドレスバーに注意を払うことで防止できます。緑色の南京錠のアイコンを探すように教えている人はかなりいますが、ドメイン自体に注意を向けるには十分ではないようです。フィッシング詐欺師は、 タイポスクワッティングと呼ばれる戦術を持っています。これは、本物によく似たドメインを使用することを伴いますが、慎重であっても、だまされるには十分ではありません。
フィッシングはサイバー犯罪の単純な形態であり、自分自身を保護するために特に複雑なツールや手法は必要ありません。最終的には、注意してすべてがうまくいくことを確認するために少し時間をとることは、データを提供することと安全に保つことの違いを意味する可能性があります。