Een Citibank-phishingpoging probeert persoonlijke informatie te extraheren

Citibank Phishing Attack

Nog een andere phishing- aanval gericht op klanten van Citibank deed onlangs de ronde. Het werd ontdekt door een onderzoeker van de Twitter-handle MalwareHunterTeam en cybersecurity-nieuwssite BleepingComputer rapporteerde er ook over. MalwareHunterTeam heeft op Twitter aangekondigd dat de pagina nu is verwijderd, maar het onderzoeken van de zwendel kan nog steeds nuttig zijn, omdat het ons een idee geeft van de slimme technieken die de phishers tegenwoordig gebruiken, en het kan ons ook laten zien wat voor soort fouten ze maken. Er waren veel slimme functies en een paar fouten in deze specifieke campagne.

Helaas weten we niet wie de aanval heeft georganiseerd en hebben we geen idee wat voor social engineering-trucjes ze gebruikten om slachtoffers naar de phishing-pagina te lokken. Hoogstwaarschijnlijk begint de zwendel met een e-mail, maar in het verleden zijn ook andere trucs gebruikt. Wat we wel weten is dat de phishing-pagina werd gehost op update-citi [.] Com en dat hij er behoorlijk overtuigend uitzag.

Een phishing-campagne die een heleboel persoonlijke informatie verzamelt

De screenshots die MalwareHunterTeam deelde op Twitter laten zien dat mensen die voor de zwendel vielen nogal wat stappen hebben doorlopen. Allereerst is natuurlijk de nep-inlogpagina die het slachtoffer om de gebruikersnaam en het wachtwoord van zijn bankrekening vraagt. Wanneer de inloggegevens worden overgedragen, stopt de kwaadwillende pagina echter niet met het vragen van informatie.

Het slachtoffer wordt gevraagd een formulier in te vullen met zijn naam, geboortedatum, fysiek adres en de laatste vier cijfers van zijn sofinummer. Daarna moeten ze hun bankkaartgegevens in een ander formulier invoeren. Zodra dat is gebeurd, vertelt de pagina hen dat het hen probeert te authenticeren - een proces dat tot een minuut kan duren.

In werkelijkheid is niemand helemaal zeker wat er in die periode gebeurt, maar de onderzoekers speculeren dat terwijl het slachtoffer wacht op 'authenticatie', de boeven proberen de opgegeven inloggegevens te gebruiken om in hun account in te breken. Natuurlijk kunnen ze niet direct de accounts van klanten die tweefactorauthenticatie (2FA) hebben ingeschakeld, compromitteren, maar dat belet hen niet om het te proberen.

Citibank detecteert de inlogpoging en het slachtoffer ontvangt een eenmalige PIN (OTP) als sms. Na ongeveer een minuut vraagt de phishing-pagina om de OTP, net zoals Citibank. Omdat ze denken dat ze op de juiste plek inloggen, geeft de klant het over en wordt het doorgestuurd naar de echte Citibank-website. Ondertussen hebben de phishers alle informatie die ze nodig hebben om het account van de gebruiker in gevaar te brengen.

De slimme functies

Het meest opvallende aan deze campagne is het feit dat het het 2FA-systeem van Citibank probeert te omzeilen. Twee-factor authenticatie wordt vaak beschouwd als de enige hoop van de gebruiker in een phishing-scenario, maar in dit geval slaagden de boeven erin om er op een behoorlijk overtuigende manier omheen te onderhandelen.

Ze lieten de phishingpagina er ook zo uitzien. De logo's en de lettertypen zien er echt uit en de lay-out is vrij gelijkaardig aan de online portal van Citibank. De phishers hebben ook een SSL-certificaat op de pagina geïnstalleerd, wat betekent dat browsers het vergrendelingspictogram in de adresbalk weergeven. Jarenlang was het hangslot onbetrouwbaar als een teken van de legitimiteit van een website, maar sommige mensen blijven denken dat het hun veiligheid kan garanderen.

Zoals u kunt zien, heeft de phishing-bemanning die de aanval heeft gelanceerd, besloten niet bij de inloggegevens te stoppen en de slachtoffers om een aantal andere persoonlijke en financiële gegevens te vragen. Dit betekent dat zelfs nadat de klant zich realiseert dat ze zijn opgelicht en hun account beveiligt, de phishers nog steeds voldoende informatie hebben om identiteitsdiefstal uit te voeren.

Het moet echter gezegd worden dat deze strategie "voor een cent, voor een pond" averechts kan werken als het potentiële slachtoffer voorzichtiger is aan wie ze hun gegevens verstrekken.

De fouten

Het feit dat we niet weten hoe de daadwerkelijke aanval begint, betekent dat we niet de hele social engineering-opstelling hebben. Wat het ook is, het is echter onwaarschijnlijk dat Citibank om de persoonlijke informatie van bestaande klanten vraagt, en het is zelfs minder waarschijnlijk om de details van de uitgegeven creditcards op te vragen. Als u dit in gedachten houdt, maakt u een betere kans om te realiseren dat er iets mis is en op de knop "Sluiten" te klikken voordat het te laat is.

De meer oplettende gebruikers zullen ook de grammaticale en typografische fouten opmerken die op bijna elke pagina te zien zijn. Het is ironisch hoe de boeven steeds meer tijd en moeite blijven steken in de technische kant van hun campagnes, maar ze lijken niet bereid te investeren in een paar grammaticalessen. Het niveau van geschreven Engels van de gemiddelde phisher is zo laag dat typefouten en onhandige zinnen nu een vrij betrouwbare indicator voor een zwendel vormen. Ze zijn echter niet zo betrouwbaar als de URL.

Inderdaad, elke succesvolle phishing-aanval kan worden voorkomen met een beetje meer aandacht voor de adresbalk. Heel wat mensen hebben zichzelf al geleerd om naar het groene hangslotpictogram te zoeken, maar er lijkt onvoldoende aandacht te zijn voor het domein zelf. De phishers hebben een tactiek genaamd typosquatting, waarbij domeinen worden gebruikt die er ongeveer hetzelfde uitzien als het echte werk, maar zelfs dit is niet genoeg om je voor de gek te houden als je voorzichtig bent.

Phishing is een eenvoudige vorm van cybercriminaliteit en het beschermen van uzelf omvat geen bijzonder complexe hulpmiddelen of technieken. Als je uiteindelijk voorzichtig bent en even de tijd neemt om te controleren of alles in orde is, kan dit het verschil betekenen tussen het weggeven en veilig bewaren van je gegevens.

January 24, 2020
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.