Oszustwo polegające na wyłudzaniu informacji przez Citibank próbuje wyodrębnić dane osobowe
Kolejnym oszustwem phishingowym wymierzonym w klientów Citibank były ostatnio rundy. Została odkryta przez badacza będzie przez Twittera rączką MalwareHunterTeam, a strona cyberbezpieczeństwa aktualności BleepingComputer odnotowano również na nim. MalwareHunterTeam ogłosił na Twitterze, że strona została już usunięta, ale zbadanie oszustwa może być nadal korzystne, ponieważ da nam wyobrażenie o sprytnych technikach, które obecnie stosują phisherzy, a także pokaże nam, jakie błędy popełniają robić. W tej kampanii było wiele sprytnych funkcji i kilka błędów.
Niestety nie wiemy, kto zorganizował atak, i nie mamy pojęcia, jakie sztuczki socjotechniczne wykorzystały, aby zwabić ofiary na stronę phishingową. Najprawdopodobniej oszustwo zaczyna się od wiadomości e-mail, ale w przeszłości używane były również inne sztuczki. Wiemy, że strona phishingowa była hostowana na update-citi [.] Com i wyglądała dość przekonująco.
Table of Contents
Kampania phishingowa, która zbiera masę danych osobowych
Zrzuty ekranu MalwareHunterTeam udostępnione na Twitterze pokazują, że ludzie, którzy zakochali się w oszustwie, przeszli kilka kroków. Po pierwsze, oczywiście jest fałszywa strona logowania, która pyta ofiarę o nazwę użytkownika i hasło do konta bankowego. Jednak po przekazaniu danych logowania złośliwa strona nie przestaje żądać informacji.
Ofiara jest proszona o wypełnienie formularza zawierającego imię i nazwisko, datę urodzenia, adres zamieszkania oraz cztery ostatnie cyfry numeru ubezpieczenia społecznego. Następnie muszą wprowadzić dane karty bankowej w innym formularzu. Po zakończeniu strona informuje ich, że próbuje ich uwierzytelnić - proces ten może potrwać nawet minutę.
W rzeczywistości nikt nie jest pewien, co dzieje się w tym okresie, ale badacze spekulują, że podczas gdy ofiara czeka na „uwierzytelnienie”, oszuści próbują wykorzystać dostarczone dane logowania, aby włamać się na swoje konto. Oczywiście nie mogą natychmiast narazić na szwank kont klientów, którzy włączyli uwierzytelnianie dwuskładnikowe (2FA), ale to nie powstrzyma ich przed próbą.
Citibank wykrywa próbę logowania, a ofiara otrzymuje jednorazowy kod PIN (OTP) jako SMS. Po około minucie strona phishingowa żąda OTP, tak jak zrobiłby to Citibank. Ponieważ myślą, że logują się we właściwym miejscu, klient przekazuje je i zostaje przekierowany na prawdziwą stronę Citibank. Tymczasem phisherzy mają wszystkie informacje, których potrzebują, aby zaatakować konto użytkownika.
Sprytne funkcje
Najważniejszą rzeczą w tej kampanii jest to, że próbuje ominąć system 2FA Citibank. Uwierzytelnianie dwuskładnikowe jest często uważane za jedyną nadzieję użytkownika w scenariuszu wyłudzania informacji, ale w tym przypadku oszustom udało się negocjować wokół niego w dość przekonujący sposób.
Sprawili, że strona phishingowa również wyglądała jak prawdziwa okazja. Logo i czcionki wyglądają autentycznie, a ich układ jest podobny do portalu internetowego Citibank. Phisherzy zainstalowali także certyfikat SSL na stronie, co oznaczało, że przeglądarki wyświetlały ikonę kłódki na pasku adresu. Przez lata kłódka była niewiarygodna, co świadczy o legalności strony internetowej, ale niektórzy ludzie nadal myślą, że może zagwarantować ich bezpieczeństwo.
Jak widać, ekipa phishingowa, która przeprowadziła atak, postanowiła nie zatrzymywać się na danych logowania i poprosić ofiary o kilka innych danych osobowych i finansowych. Oznacza to, że nawet po tym, jak klient zda sobie sprawę, że został oszukany i zabezpieczy swoje konto, phisherzy nadal będą mieli wystarczającą ilość informacji, aby dokonać kradzieży tożsamości.
Trzeba jednak powiedzieć, że ta strategia „za grosza, za funta” mogłaby przynieść odwrót, gdyby potencjalna ofiara była bardziej ostrożna, komu przekazuje swoje dane.
Błędy
Fakt, że nie wiemy, jak rozpoczyna się faktyczny atak, oznacza, że nie mamy całej konfiguracji socjotechniki. Cokolwiek by to nie było, Citibank raczej nie poprosi o dane osobowe istniejących klientów, a jeszcze rzadziej prosi o podanie szczegółów wydanych kart kredytowych. Mając to na uwadze, masz większą szansę na stwierdzenie, że coś jest nie tak i kliknięcie przycisku „Zamknij”, zanim będzie za późno.
Bardziej spostrzegawczy użytkownicy zauważą również błędy gramatyczne i typograficzne, które można zobaczyć na prawie każdej stronie. To ironiczne, że oszuści wciąż wkładają coraz więcej czasu i wysiłku w techniczną stronę swoich kampanii, ale wydaje się, że nie chcą inwestować w kilka lekcji gramatyki. Poziom pisanego angielskiego przeciętnego phishera jest tak niski, że literówki i niewygodne frazy stanowią obecnie niezawodny wskaźnik oszustwa. Nie są jednak tak wiarygodne jak adres URL.
Rzeczywiście, każdemu udanemu atakowi phishingowemu można zapobiec, zwracając nieco większą uwagę na pasek adresu. Sporo osób nauczyło się już szukać zielonej ikony kłódki, ale wydaje się, że zbyt mało zwraca uwagi na samą domenę. Phisherzy stosują taktykę zwaną typosquatting, która polega na używaniu domen, które wyglądają bardzo podobnie do rzeczywistości, ale nawet to nie wystarczy, aby cię oszukać, jeśli będziesz ostrożny.
Wyłudzanie informacji jest prostą formą cyberprzestępczości, a ochrona użytkownika nie wymaga szczególnie skomplikowanych narzędzi ani technik. W końcu uważność i poświęcenie sekundy na upewnienie się, że wszystko jest w porządku, może oznaczać różnicę między przekazywaniem danych a ich ochroną.
