En Citibank phishing-bluff försöker utvinna personlig information
Ytterligare en phishing-bedrägeri riktad mot Citibank-kunder genomförde rundorna nyligen. Det upptäcktes av en forskare som går via Twitter-handtaget MalwareHunterTeam och nyhetswebbplatsen cybersecurity BleepingComputer rapporterade också om det. MalwareHunterTeam meddelade på Twitter att sidan nu har tagits bort, men att undersöka bedrägeriet kan fortfarande vara fördelaktigt, eftersom det kommer att ge oss en uppfattning om de smarta tekniker som phisharna använder idag, och det kan också visa oss vilken typ av misstag de göra. Det fanns gott om smarta funktioner och några misstag i den här kampanjen.
Tyvärr vet vi inte vem som organiserade attacken, och vi har ingen aning om vilken typ av socialtekniska trick de använde för att locka offer till phishing-sidan. Troligtvis börjar bedrägeriet med ett e-postmeddelande, men andra trick har också använts tidigare. Vad vi vet är att phishing-sidan brukade vara värd på update-citi [.] Com och att den såg ganska övertygande ut.
Table of Contents
En phishing-kampanj som samlar in massor av personlig information
Skärmdumparna MalwareHunterTeam delade på Twitter visar att personer som föll för bedrägeriet genomgick en hel del steg. Först är naturligtvis den falska inloggningssidan som ber offeret om användarnamn och lösenord till sitt bankkonto. När inloggningsuppgifterna överlämnas slutar dock den skadliga sidan inte att begära information.
Offret uppmanas att fylla i ett formulär med sitt namn, födelsedatum, fysisk adress och de sista fyra siffrorna i sitt personnummer. Därefter måste de ange sina bankkortsuppgifter i en annan form. När det är gjort berättar sidan för dem att de försöker autentisera dem - en process som kan ta upp till en minut.
I verkligheten är ingen helt säker på vad som händer under den perioden, men forskarna spekulerar att medan offret väntar på att bli "autentiserad" försöker skurkarna att använda de medföljande inloggningsuppgifterna för att bryta in sitt konto. Naturligtvis kan de inte omedelbart äventyra konton för kunder som har aktiverat tvåfaktorautentisering (2FA), men det hindrar dem inte från att försöka.
Citibank upptäcker inloggningsförsöket och offret får en engångs-PIN (OTP) som ett SMS. Efter en minut begär phishing-sidan OTP, precis som Citibank skulle göra. Eftersom de tror att de loggar in på rätt ställe överlämnar kunden det och omdirigeras till den riktiga Citibank-webbplatsen. Samtidigt har phisharna all den information de behöver för att kompromissa med användarens konto.
Smarta funktioner
Det mest anmärkningsvärda med denna kampanj är det faktum att den försöker kringgå Citibanks 2FA-system. Tvåfaktorsautentisering anses ofta vara användarens enda hopp i ett phishing-scenario, men i det här fallet lyckades skurkarna förhandla kring det på ett ganska övertygande sätt.
De fick phishing-sidan att se ut som den verkliga affären också. Logotyper och teckensnitt ser äkta ut, och layouten liknar Citibanks onlineportal. Phishers installerade också ett SSL-certifikat på sidan, vilket innebar att webbläsare visade låsikonen i adressfältet. I flera år har hänglåset varit opålitligt som ett tecken på en webbplats legitimitet, men vissa människor fortsätter att tro att det kan garantera deras säkerhet.
Som ni ser beslutade phishing-besättningen som startade attacken att inte stanna vid inloggningsdata och att be offer för en hel del andra personliga och ekonomiska detaljer. Detta innebär att även efter att kunden inser att de har blivit lurade och säkrat sitt konto, kommer phisharna fortfarande att ha tillräckligt med information för att utföra identitetsstöld.
Det måste dock sägas att denna "in for a penny, in for a pund" -strategi skulle kunna slå tillbaka om det potentiella offeret är mer noggrann vem de ger sina uppgifter till.
Misstagen
Det faktum att vi inte vet hur den faktiska attacken börjar innebär att vi inte har hela socialteknikuppsättningen. Hur det än är, det är emellertid osannolikt att Citibank begär personliga uppgifter för befintliga kunder, och det är ännu mindre troligt att begära information om kreditkorten den har utfärdat. Om du tänker på detta har du en bättre chans att inse att något är fel och klicka på "Stäng" -knappen innan det är för sent.
De mer observanta användare kommer också att märka de grammatiska och typografiska fel som kan ses på nästan varje sida. Det är ironiskt hur skurkarna fortsätter att lägga mer och mer tid och ansträngning på den tekniska sidan av sina kampanjer, men ändå verkar de ovilliga att investera i några grammatiklektioner. Den genomsnittliga phisherns skriftliga engelska är så låg att skrivfel och besvärliga fraser nu utgör en ganska tillförlitlig indikator på en bedrägeri. De är dock inte lika pålitliga som webbadressen.
I själva verket kan varje framgångsrik phishingattack förhindras med lite mer uppmärksamhet på adressfältet. Många har redan lärt sig att leta efter den gröna hänglåsikonen, men inte tillräckligt verkar uppmärksamma domänen själv. Phishers har en taktik som kallas typosquatting, vilket innebär att man använder domäner som ser ganska lika ut som de riktiga, men även detta räcker inte för att lura dig om du är försiktig.
Phishing är en enkel form av cyberbrott, och att skydda dig själv innebär inga särskilt komplicerade verktyg eller tekniker. I slutändan, att vara försiktig och ta en sekund för att se till att allt är i orden kan innebära skillnaden mellan att ge bort dina data och att hålla dem säkra.
