CarderPlanet
Professional
- Messages
- 2,552
- Reaction score
- 674
- Points
- 83
Основные выводы
Фон
Фишинг с платежными картами и банковскими счетами - метод, с помощью которого мошенники заставляют жертв непреднамеренно предоставить данные платежных карт, учетные данные для входа или личную информацию (PII) - всегда был популярной преступной схемой. Однако многие индикаторы показывают, что в 2020 году количество фишинговых атак резко возросло. С 2019 по 2020 год:
Исторически наиболее распространенным методом фишинга был «массовый» фишинг. С помощью этого метода мошенники надеются привлечь жертв на свою «приманку» (фишинговую страницу для крупной компании или финансового учреждения или просто заманчивое предложение, например, на лекарства со скидкой) с помощью фишинга в «большом пруду» (рассылка спама на адрес « случайные »получатели или создание фишинговых объявлений через Google или Facebook). Идея проста: большинство потенциальных жертв не клюют наживку, но пруд достаточно велик, а приманка достаточно «универсальная», чтобы даже небольшого процента хватило, чтобы получить прибыль.
По этой причине мошенники в значительной степени избегают использования малых и средних финансовых учреждений в качестве приманки в этой аналогии. Бросьте фишинговую страницу небольшого регионального банка в этот большой пруд, и и без того небольшой процент жертв станет настолько маленьким, что не стоит тратить время и усилия для большинства мошенников.
Однако анализ фишинговых записей, размещенных в темной сети, и болтовня, происходящая на форумах темной сети, показывает, что игра изменилась. В прошлом году мошенники все чаще находили способы уменьшить размер пруда и убедиться, что рыба в пруду является клиентами малых и средних финансовых учреждений. В результате мошенники теперь создают фишинговые страницы для определенных малых и средних финансовых учреждений, идентифицируют их клиентов и атакуют их с помощью фишинговых атак. К сожалению, как сами учреждения, так и их клиенты могут быть не готовы к растущей угрозе, что делает их легкой мишенью в глазах мошенников.
Мошенники обращают свои фишинговые взоры на малые и средние финансовые учреждения
С января 2018 года объем фишинговых записей, размещаемых в темной сети, неуклонно растет, при этом показатели для малых и средних финансовых учреждений США совпадают с показателями крупных финансовых учреждений США. Это ожидается, поскольку большинство фишинговых сайтов являются общими и небанковскими, что предполагает широко пропорциональное распределение открытых карт по размеру каждого финансового учреждения.
Важно отметить, что объем фишинговых записей от малых и средних финансовых организаций увеличивался более высокими темпами - на 14 процентных пунктов - по сравнению с записями от крупных финансовых организаций при сравнении последних 18 месяцев с предыдущим 18-месячным периодом.
На этом фоне роста фишинговых атак Gemini Advisory также стала свидетелем неуклонного появления субъектов темной сети, рекламирующих фишинговые сайты и услуги для «полуцелевых» фишинговых атак на клиентов малых и средних организаций. Соответственно, субъекты все чаще ищут и продают данные, которые можно использовать для создания целевых списков клиентов этих учреждений. Эти полуцелевые фишинговые атаки используют аспекты как массового фишинга, так и целевого фишинга, которые представляют собой персонализированные фишинговые атаки против отдельных лиц, для запуска фишинговых кампаний, специально нацеленных на клиентов малых и средних финансовых учреждений.
Почему малые и средние финансовые учреждения являются плохой приманкой для массового фишинга
В контексте фишинга с банковским и карточным мошенничеством массовый фишинг полагается на два метода доставки «приманки», которая относится к фишинговой странице, которая собирает данные жертв:
Изображения 1-2: фишинговая страница крупного финансового учреждения, выставленная на продажу актером даркнета «iHack». Мошенники используют страницы проверки личности, чтобы обманом заставить жертв предоставить данные платежных карт и PII.
Если мошенники доставляют фишинговую приманку через спам-сообщения, они обычно покупают или бесплатно загружают одну из множества баз данных спама, предлагаемых на форумах в темной сети. Идея состоит в том, что имитируемая компания настолько велика, что у них, вероятно, все еще будет большое количество клиентов в их списках рассылки.
Если мошенники используют рекламу Google или Facebook для приманки, они создают рекламу и могут выбрать некоторые критерии, такие как регион, возраст или пол, чтобы сузить аудиторию путем выбора конкретных интересов. Участники темных веб-форумов часто рекламируют свои услуги для создания индивидуализированной рекламы, предназначенной для привлечения трафика на банковские фишинговые сайты, а другие участники регулярно создают сообщения, ищущие эти услуги.
Хотя использование рекламы Google и Facebook для привлечения посетителей на фишинговые сайты обычно зарезервировано для более типичных массовых фишинговых кампаний, мошенники могут использовать эту рекламу для малых и средних финансовых учреждений. Для этих небольших организаций показатели успешности фишинговых кампаний на основе рекламы обычно ниже, чем у фишинговых электронных писем определенным клиентам банка; однако мошенники могут увеличить свои шансы, используя фишинг для небольшого регионального банка и настраивая свои объявления так, чтобы они были ориентированы на лиц, проживающих в районе регионального банка.
Несмотря на то, что массовый фишинг лучше подходит для фишинга в крупных финансовых учреждениях и компаниях, эти более крупные организации значительно улучшили свои возможности по обнаружению и пресечению фишинговых атак на своих клиентов. Чтобы противостоять спаму, крупные финансовые учреждения и поставщики услуг электронной почты объединились для внедрения таких систем, как DMARC, которые блокируют фишинговые письма до того, как они попадут в почтовые ящики потенциальных жертв. В то же время компании по анализу угроз теперь предлагают услуги, предназначенные для упреждающего определения доменов, использующих типосквотирование в качестве фишинговых сайтов.
Примечательно, что способность крупных организаций использовать эти инструменты для предотвращения фишинговых атак является одним из основных факторов, побуждающих мошенников разрабатывать новые методы фишинга для нацеливания на сравнительно менее защищенные малые и средние финансовые учреждения.
Как мошенники находят жертв фишинга для малых и средних финансовых учреждений
Чтобы мошенники могли нацеливаться на клиентов малых и средних финансовых учреждений, им необходимо знать, кто эти клиенты. В то время как базы данных клиентов, содержащие адреса электронной почты, легко доступны для крупных компаний в темной сети, они редко существуют для банков. В отличие от крупных банков, мошенники с удовольствием бросают кости с помощью массового фишинга, будучи уверенными в том, что клиентские базы этих банков достаточно велики для приемлемого уровня успеха.
Чтобы обойти эту проблему, мошенники начали разрабатывать новые методы преобразования скомпрометированных личных данных по низкой цене на форумах в темной сети в целевые списки для малых и средних финансовых учреждений. Оттуда они запускают полуцелевые и целевые фишинговые атаки, чтобы добиться более высоких показателей успеха от небольших, «укомплектованных» прудов потенциальных жертв.
Метод 1. Использование «бесполезных» взломанных данных для поиска жертв
Один из основных методов заключается в использовании скомпрометированных записей платежных карт и банковских журналов, которые больше не представляют ценности для большинства киберпреступников для традиционных схем мошенничества, а затем получение от них контактной информации их жертв и финансового учреждения. Банковские журналы - это файлы, которые содержат учетные данные жертв, файлы cookie, PII и другую информацию, которая была украдена киберпреступниками с помощью различных средств, включая фишинг, кейлоггеры или различные вредоносные программы.
Изображение 3: 18 ноября 2020 года актер «tyjew» на высококлассном форуме в темной сети попытался приобрести недействительные, просроченные или «мертвые» скомпрометированные записи платежных карт, которые содержали номер телефона жертвы. Злоумышленник может использовать эту информацию для целевого фишинга телефонных звонков или полуцелевого фишинга на основе SMS.
Эти записи и банковские журналы наиболее ценны, когда их можно монетизировать с помощью мошеннических транзакций, захватов учетных записей или других схем вывода средств. Но когда срок действия платежной карты истекает, или банк перевыпускает карту из-за мошенничества, или банк повторно защищает взломанный банковский счет в Интернете, записи и банковские журналы теряют почти всю свою ценность и становятся «бесполезными». В результате эти записи и банковские журналы продаются за гроши в темной сети и позволяют мошенникам дешево приобретать и очищать нужные им данные.
В то время как банковские журналы всегда содержат информацию о финансовом учреждении жертвы и в подавляющем большинстве содержат адрес электронной почты или номер телефона жертвы, записи скомпрометированных платежных карт обычно содержат контактную информацию, если взломанный источник собрал эту информацию во время оформления заказа. В прошлом году 47% из 7 миллионов записей о платежных картах в США от малых и средних финансовых учреждений, которые были скомпрометированы во время онлайн-транзакций, содержали адрес электронной почты или номер телефона жертвы.
Записи о взломанных платежных картах не содержат явно явной информации о финансовом учреждении жертвы, но мошенники могут использовать широко доступные «средства проверки BIN» или «списки BIN», чтобы определить финансовое учреждение, в котором были скомпрометированы записи о платежных картах. Чекеры BIN позволяют мошенникам ввести первые 6-8 цифр скомпрометированной карты и получить название финансового учреждения, выпустившего карту. Списки BIN, которые представляют собой списки BIN и соответствующих им финансовых учреждений, часто свободно публикуются на форумах в темной сети.
Метод 2: Отмена «Банковских лидов»
Второй метод предполагает покупку так называемых «банковских лидов» у других киберпреступников. Как правило, эти киберпреступники получали контактную информацию жертвы, ее финансовое учреждение и другую связанную PII, но не получали более прибыльные данные платежных карт, информацию об учетной записи или учетные данные для входа. В результате эти банковские клиенты стоят значительно дешевле, чем те, у которых есть данные платежной карты, информация о счете или учетные данные. Банки обычно получают в результате массовых фишинговых кампаний или взломанных баз данных платежных систем и маркетинговых компаний.
Изображение 4: 22 июля 2021 года актер «посман» на одном из ведущих веб-форумов дал предложение продать информацию о банках, которую мошенники могли бы использовать для фишинговых кампаний, нацеленных на малые и средние финансовые учреждения.
Полуцелевой фишинг для малых и средних финансовых учреждений
Если у мошенника есть список жертв для небольшого или среднего финансового учреждения, он может попытаться заманить их с помощью методов, аналогичных массовому фишингу. С помощью этих методов они создают поддельную фишинговую страницу для банка, на который они нацелены. Затем они распространяют фишинговые электронные письма, если они собирают адреса электронной почты клиентов, или распространяют фишинговые текстовые сообщения, если они собирают номера телефонов.
Важно отметить, что хотя провайдеры электронной почты улучшили свои системы фильтрации спама, а конечные пользователи стали более сообразительными в отношении фишинговых угроз, рост криминального программного обеспечения, такого как Email Appender, дал мошенникам новые возможности для обхода этих средств защиты и повышения их шансов на успех.
Кроме того, хотя многие мошенники могут не обладать техническими знаниями для создания жизнеспособных и убедительных фишинговых страниц, злоумышленники на форумах темной сети регулярно рекламируют свои услуги для создания настраиваемых фишинговых страниц для любого финансового учреждения. Эти субъекты обычно включают примеры своих поддельных сайтов, которые могут включать в себя крупные организации, но часто также включают небольшие и средние финансовые учреждения.
Изображение 5: Актер «ninesmoney» благодарит «iHack» за создание для них персонализированной фишинг-страницы Virginia Credit Union. iHack регулярно рекламирует свои услуги, создавая фишинговые страницы на темном веб-форуме среднего уровня.
Кроме того, участники темных веб-форумов также рекламируют услуги по привлечению веб-трафика на фишинговые сайты через фишинговые электронные письма или онлайн-рекламу. На практике сочетание служб для создания настраиваемых фишинговых страниц и направления веб-трафика на сайты позволяет мошенникам со сравнительно ограниченными техническими знаниями или временем выполнять ключевые функции.
Изображение 6: Актер «GoldByt» на среднем русскоязычном форуме даркнета ищет партнеров, которые могут направлять интернет-трафик на их фишинговый сайт Муниципального кредитного союза.
Целевой фишинг в малых и средних финансовых учреждениях
В качестве альтернативы, когда у мошенника есть список жертв, он может попытаться заманить свою жертву с помощью методов целевого фишинга. Под целевым фишингом понимаются атаки, нацеленные на отдельного человека или, в некоторых случаях, на небольшую компанию, в которых злоумышленник использует личную информацию, чтобы обмануть жертву и заставить ее поверить в то, что злоумышленник является надежным собеседником. Целевой фишинг обычно осуществляется через телефонные звонки или персонализированные электронные письма и требует от мошенника настройки каждой атаки для каждой жертвы. В результате мошенник должен уделять каждой атаке больше времени и ресурсов.
Как отмечалось выше, данные о жертвах, которые собирают мошенники, должны включать либо адреса электронной почты, либо номера телефонов, чтобы быть полезными. Если данные включают номера телефонов, мошенник может подделать их телефонный номер, чтобы выдать себя за банк жертвы, а затем позвонить жертве. Мошенник пытается манипулировать жертвой, чтобы она раскрыла конфиденциальную информацию по телефону, задавая «типичные» вопросы для проверки личности, такие как дата рождения и адрес, а затем тайком вводит другие вопросы, такие как номер социального страхования или данные для входа в систему. В качестве альтернативы мошенник может убедить жертву перейти на фишинговую страницу, которая, вероятно, распространяется посредством текстового сообщения или электронной почты во время разговора, после чего жертва затем вводит конфиденциальную информацию.
Смягчение
Хотя методы, используемые мошенниками для сбора целевых списков для малых и средних финансовых учреждений, отличаются от методов, используемых для крупных банков и известных компаний, передовые методы снижения опасностей в основном те же.
Ключевое отличие состоит в том, что историческое отсутствие внимания киберпреступников к созданию фишинговых страниц для малых и средних финансовых учреждений могло привести к тому, что некоторые из этих финансовых учреждений недооценили текущую угрозу, с которой они сталкиваются. В результате на эти финансовые учреждения в настоящее время оказывается большее давление, чтобы обеспечить наличие у них процессов для отслеживания фишинговых атак, имитирующих их организацию, и чтобы их клиенты были должным образом проинформированы об опасностях.
Для людей, имеющих учетную запись в небольшом или среднем финансовом учреждении, лучший способ защитить себя - это уделить дополнительную секунду, чтобы убедиться, что человек, с которым вы разговариваете, или сайт, который вы посещаете, действительно является тем, кем вы являетесь. верьте им.
Если вам позвонил человек, выдающий себя за представителя банка:
Если вы получили электронное письмо от своего банка:
]Заключение
Разработке новых методов нацеливания фишинговых атак на клиентов малых и средних финансовых учреждений способствовало появление различных фишинговых сервисов киберпреступников. Из-за легкости, с которой мошенники могут заказать настраиваемую фишинговую страницу и платить другим участникам за направление трафика на их сайт, единственным препятствием, не позволяющим мошенникам активизировать таргетинг на малые и средние финансовые учреждения, является доступность данных о жертвах. с указанием их финансового учреждения и адреса электронной почты или номера телефона.
По мере того, как все больше мошенников находят способы извлекать информацию о жертвах и начинают понимать ценность продажи этих данных, результатом, вероятно, будет дальнейший рост фишинговых атак на клиентов малых и средних финансовых учреждений. Поскольку эти типы атак основаны на обмане жертвы, а не на слабой защите, лучшая стратегия для отдельных лиц - следовать хорошо зарекомендовавшим себя методам защиты от фишинга. Для самих малых и средних финансовых учреждений лучшая стратегия - обеспечить наличие процессов для отслеживания фишинговых атак, направленных на их клиентов, и информирования клиентов об опасностях.
- В 2020 году количество фишинговых атак резко возросло: по данным ФБР, число жертв фишинга увеличилось на 110%. Gemini Advisory обнаружила, что на 72% увеличилось количество сообщений на темных веб-форумах, ссылающихся на фишинг, и на 101% увеличилось количество скомпрометированных платежных карт США с высокой вероятностью фишинга, которые были размещены в темной сети.
- Участники даркнета все чаще рекламируют фишинговые страницы для конкретных банков и связанные с ними услуги, нацеленные на клиентов малых и средних финансовых учреждений. Это знаменует собой расширение общепринятых методов создания универсальных фишинговых сайтов или фишинговых сайтов для крупных компаний с большой клиентской базой.
- Мошенники используют «бесполезные» скомпрометированные данные платежных карт и личную информацию (PII), а также «банковские данные» для сбора адресов электронной почты, номеров телефонов и финансовых учреждений жертв с целью создания целевых списков.
- В то время как малые и средние финансовые учреждения, а также их клиенты менее привыкли к целевым фишинговым кампаниям, хорошо зарекомендовавшие себя передовые методы защиты от фишинговых атак служат их лучшими стратегиями смягчения последствий.
Фон
Фишинг с платежными картами и банковскими счетами - метод, с помощью которого мошенники заставляют жертв непреднамеренно предоставить данные платежных карт, учетные данные для входа или личную информацию (PII) - всегда был популярной преступной схемой. Однако многие индикаторы показывают, что в 2020 году количество фишинговых атак резко возросло. С 2019 по 2020 год:
- ФБР сообщило в увеличении фишинговых жертв 110%
- Gemini обнаружила, что на 72% увеличилось количество сообщений на форумах в темной сети, ссылающихся на фишинг
- Gemini определила увеличение на 101% объема взломанных платежных карт США с высокой вероятностью фишинга, которые были размещены для продажи в темной сети.
Исторически наиболее распространенным методом фишинга был «массовый» фишинг. С помощью этого метода мошенники надеются привлечь жертв на свою «приманку» (фишинговую страницу для крупной компании или финансового учреждения или просто заманчивое предложение, например, на лекарства со скидкой) с помощью фишинга в «большом пруду» (рассылка спама на адрес « случайные »получатели или создание фишинговых объявлений через Google или Facebook). Идея проста: большинство потенциальных жертв не клюют наживку, но пруд достаточно велик, а приманка достаточно «универсальная», чтобы даже небольшого процента хватило, чтобы получить прибыль.
По этой причине мошенники в значительной степени избегают использования малых и средних финансовых учреждений в качестве приманки в этой аналогии. Бросьте фишинговую страницу небольшого регионального банка в этот большой пруд, и и без того небольшой процент жертв станет настолько маленьким, что не стоит тратить время и усилия для большинства мошенников.
Однако анализ фишинговых записей, размещенных в темной сети, и болтовня, происходящая на форумах темной сети, показывает, что игра изменилась. В прошлом году мошенники все чаще находили способы уменьшить размер пруда и убедиться, что рыба в пруду является клиентами малых и средних финансовых учреждений. В результате мошенники теперь создают фишинговые страницы для определенных малых и средних финансовых учреждений, идентифицируют их клиентов и атакуют их с помощью фишинговых атак. К сожалению, как сами учреждения, так и их клиенты могут быть не готовы к растущей угрозе, что делает их легкой мишенью в глазах мошенников.
Мошенники обращают свои фишинговые взоры на малые и средние финансовые учреждения
С января 2018 года объем фишинговых записей, размещаемых в темной сети, неуклонно растет, при этом показатели для малых и средних финансовых учреждений США совпадают с показателями крупных финансовых учреждений США. Это ожидается, поскольку большинство фишинговых сайтов являются общими и небанковскими, что предполагает широко пропорциональное распределение открытых карт по размеру каждого финансового учреждения.
Важно отметить, что объем фишинговых записей от малых и средних финансовых организаций увеличивался более высокими темпами - на 14 процентных пунктов - по сравнению с записями от крупных финансовых организаций при сравнении последних 18 месяцев с предыдущим 18-месячным периодом.
На этом фоне роста фишинговых атак Gemini Advisory также стала свидетелем неуклонного появления субъектов темной сети, рекламирующих фишинговые сайты и услуги для «полуцелевых» фишинговых атак на клиентов малых и средних организаций. Соответственно, субъекты все чаще ищут и продают данные, которые можно использовать для создания целевых списков клиентов этих учреждений. Эти полуцелевые фишинговые атаки используют аспекты как массового фишинга, так и целевого фишинга, которые представляют собой персонализированные фишинговые атаки против отдельных лиц, для запуска фишинговых кампаний, специально нацеленных на клиентов малых и средних финансовых учреждений.
Почему малые и средние финансовые учреждения являются плохой приманкой для массового фишинга
В контексте фишинга с банковским и карточным мошенничеством массовый фишинг полагается на два метода доставки «приманки», которая относится к фишинговой странице, которая собирает данные жертв:
- Масштабное распространение обобщенных спам-писем, содержащих ссылки на фишинговую страницу.
- Интернет-реклама - обычно реклама Google или Facebook - со ссылкой на фишинговую страницу.
- Широко используемые компании, такие как Amazon или Netflix, для фишинга данных платежных карт и PII
- Крупные финансовые учреждения с крупнейшей клиентской базой для фишинга, учетные данные для входа в онлайн-банкинг, данные платежных карт и PII.
- Привлекательные предложения, такие как инвестиционные возможности, информация о криптовалюте или фармакологические сделки.
- «Страшные» угрозы, например срочные запросы налоговой информации.
Изображения 1-2: фишинговая страница крупного финансового учреждения, выставленная на продажу актером даркнета «iHack». Мошенники используют страницы проверки личности, чтобы обманом заставить жертв предоставить данные платежных карт и PII.
Если мошенники доставляют фишинговую приманку через спам-сообщения, они обычно покупают или бесплатно загружают одну из множества баз данных спама, предлагаемых на форумах в темной сети. Идея состоит в том, что имитируемая компания настолько велика, что у них, вероятно, все еще будет большое количество клиентов в их списках рассылки.
Если мошенники используют рекламу Google или Facebook для приманки, они создают рекламу и могут выбрать некоторые критерии, такие как регион, возраст или пол, чтобы сузить аудиторию путем выбора конкретных интересов. Участники темных веб-форумов часто рекламируют свои услуги для создания индивидуализированной рекламы, предназначенной для привлечения трафика на банковские фишинговые сайты, а другие участники регулярно создают сообщения, ищущие эти услуги.
Хотя использование рекламы Google и Facebook для привлечения посетителей на фишинговые сайты обычно зарезервировано для более типичных массовых фишинговых кампаний, мошенники могут использовать эту рекламу для малых и средних финансовых учреждений. Для этих небольших организаций показатели успешности фишинговых кампаний на основе рекламы обычно ниже, чем у фишинговых электронных писем определенным клиентам банка; однако мошенники могут увеличить свои шансы, используя фишинг для небольшого регионального банка и настраивая свои объявления так, чтобы они были ориентированы на лиц, проживающих в районе регионального банка.
Несмотря на то, что массовый фишинг лучше подходит для фишинга в крупных финансовых учреждениях и компаниях, эти более крупные организации значительно улучшили свои возможности по обнаружению и пресечению фишинговых атак на своих клиентов. Чтобы противостоять спаму, крупные финансовые учреждения и поставщики услуг электронной почты объединились для внедрения таких систем, как DMARC, которые блокируют фишинговые письма до того, как они попадут в почтовые ящики потенциальных жертв. В то же время компании по анализу угроз теперь предлагают услуги, предназначенные для упреждающего определения доменов, использующих типосквотирование в качестве фишинговых сайтов.
Примечательно, что способность крупных организаций использовать эти инструменты для предотвращения фишинговых атак является одним из основных факторов, побуждающих мошенников разрабатывать новые методы фишинга для нацеливания на сравнительно менее защищенные малые и средние финансовые учреждения.
Как мошенники находят жертв фишинга для малых и средних финансовых учреждений
Чтобы мошенники могли нацеливаться на клиентов малых и средних финансовых учреждений, им необходимо знать, кто эти клиенты. В то время как базы данных клиентов, содержащие адреса электронной почты, легко доступны для крупных компаний в темной сети, они редко существуют для банков. В отличие от крупных банков, мошенники с удовольствием бросают кости с помощью массового фишинга, будучи уверенными в том, что клиентские базы этих банков достаточно велики для приемлемого уровня успеха.
Чтобы обойти эту проблему, мошенники начали разрабатывать новые методы преобразования скомпрометированных личных данных по низкой цене на форумах в темной сети в целевые списки для малых и средних финансовых учреждений. Оттуда они запускают полуцелевые и целевые фишинговые атаки, чтобы добиться более высоких показателей успеха от небольших, «укомплектованных» прудов потенциальных жертв.
Метод 1. Использование «бесполезных» взломанных данных для поиска жертв
Один из основных методов заключается в использовании скомпрометированных записей платежных карт и банковских журналов, которые больше не представляют ценности для большинства киберпреступников для традиционных схем мошенничества, а затем получение от них контактной информации их жертв и финансового учреждения. Банковские журналы - это файлы, которые содержат учетные данные жертв, файлы cookie, PII и другую информацию, которая была украдена киберпреступниками с помощью различных средств, включая фишинг, кейлоггеры или различные вредоносные программы.
Изображение 3: 18 ноября 2020 года актер «tyjew» на высококлассном форуме в темной сети попытался приобрести недействительные, просроченные или «мертвые» скомпрометированные записи платежных карт, которые содержали номер телефона жертвы. Злоумышленник может использовать эту информацию для целевого фишинга телефонных звонков или полуцелевого фишинга на основе SMS.
Эти записи и банковские журналы наиболее ценны, когда их можно монетизировать с помощью мошеннических транзакций, захватов учетных записей или других схем вывода средств. Но когда срок действия платежной карты истекает, или банк перевыпускает карту из-за мошенничества, или банк повторно защищает взломанный банковский счет в Интернете, записи и банковские журналы теряют почти всю свою ценность и становятся «бесполезными». В результате эти записи и банковские журналы продаются за гроши в темной сети и позволяют мошенникам дешево приобретать и очищать нужные им данные.
В то время как банковские журналы всегда содержат информацию о финансовом учреждении жертвы и в подавляющем большинстве содержат адрес электронной почты или номер телефона жертвы, записи скомпрометированных платежных карт обычно содержат контактную информацию, если взломанный источник собрал эту информацию во время оформления заказа. В прошлом году 47% из 7 миллионов записей о платежных картах в США от малых и средних финансовых учреждений, которые были скомпрометированы во время онлайн-транзакций, содержали адрес электронной почты или номер телефона жертвы.
Записи о взломанных платежных картах не содержат явно явной информации о финансовом учреждении жертвы, но мошенники могут использовать широко доступные «средства проверки BIN» или «списки BIN», чтобы определить финансовое учреждение, в котором были скомпрометированы записи о платежных картах. Чекеры BIN позволяют мошенникам ввести первые 6-8 цифр скомпрометированной карты и получить название финансового учреждения, выпустившего карту. Списки BIN, которые представляют собой списки BIN и соответствующих им финансовых учреждений, часто свободно публикуются на форумах в темной сети.
Метод 2: Отмена «Банковских лидов»
Второй метод предполагает покупку так называемых «банковских лидов» у других киберпреступников. Как правило, эти киберпреступники получали контактную информацию жертвы, ее финансовое учреждение и другую связанную PII, но не получали более прибыльные данные платежных карт, информацию об учетной записи или учетные данные для входа. В результате эти банковские клиенты стоят значительно дешевле, чем те, у которых есть данные платежной карты, информация о счете или учетные данные. Банки обычно получают в результате массовых фишинговых кампаний или взломанных баз данных платежных систем и маркетинговых компаний.
Изображение 4: 22 июля 2021 года актер «посман» на одном из ведущих веб-форумов дал предложение продать информацию о банках, которую мошенники могли бы использовать для фишинговых кампаний, нацеленных на малые и средние финансовые учреждения.
Полуцелевой фишинг для малых и средних финансовых учреждений
Если у мошенника есть список жертв для небольшого или среднего финансового учреждения, он может попытаться заманить их с помощью методов, аналогичных массовому фишингу. С помощью этих методов они создают поддельную фишинговую страницу для банка, на который они нацелены. Затем они распространяют фишинговые электронные письма, если они собирают адреса электронной почты клиентов, или распространяют фишинговые текстовые сообщения, если они собирают номера телефонов.
Важно отметить, что хотя провайдеры электронной почты улучшили свои системы фильтрации спама, а конечные пользователи стали более сообразительными в отношении фишинговых угроз, рост криминального программного обеспечения, такого как Email Appender, дал мошенникам новые возможности для обхода этих средств защиты и повышения их шансов на успех.
Кроме того, хотя многие мошенники могут не обладать техническими знаниями для создания жизнеспособных и убедительных фишинговых страниц, злоумышленники на форумах темной сети регулярно рекламируют свои услуги для создания настраиваемых фишинговых страниц для любого финансового учреждения. Эти субъекты обычно включают примеры своих поддельных сайтов, которые могут включать в себя крупные организации, но часто также включают небольшие и средние финансовые учреждения.
Изображение 5: Актер «ninesmoney» благодарит «iHack» за создание для них персонализированной фишинг-страницы Virginia Credit Union. iHack регулярно рекламирует свои услуги, создавая фишинговые страницы на темном веб-форуме среднего уровня.
Кроме того, участники темных веб-форумов также рекламируют услуги по привлечению веб-трафика на фишинговые сайты через фишинговые электронные письма или онлайн-рекламу. На практике сочетание служб для создания настраиваемых фишинговых страниц и направления веб-трафика на сайты позволяет мошенникам со сравнительно ограниченными техническими знаниями или временем выполнять ключевые функции.
Изображение 6: Актер «GoldByt» на среднем русскоязычном форуме даркнета ищет партнеров, которые могут направлять интернет-трафик на их фишинговый сайт Муниципального кредитного союза.
Целевой фишинг в малых и средних финансовых учреждениях
В качестве альтернативы, когда у мошенника есть список жертв, он может попытаться заманить свою жертву с помощью методов целевого фишинга. Под целевым фишингом понимаются атаки, нацеленные на отдельного человека или, в некоторых случаях, на небольшую компанию, в которых злоумышленник использует личную информацию, чтобы обмануть жертву и заставить ее поверить в то, что злоумышленник является надежным собеседником. Целевой фишинг обычно осуществляется через телефонные звонки или персонализированные электронные письма и требует от мошенника настройки каждой атаки для каждой жертвы. В результате мошенник должен уделять каждой атаке больше времени и ресурсов.
Как отмечалось выше, данные о жертвах, которые собирают мошенники, должны включать либо адреса электронной почты, либо номера телефонов, чтобы быть полезными. Если данные включают номера телефонов, мошенник может подделать их телефонный номер, чтобы выдать себя за банк жертвы, а затем позвонить жертве. Мошенник пытается манипулировать жертвой, чтобы она раскрыла конфиденциальную информацию по телефону, задавая «типичные» вопросы для проверки личности, такие как дата рождения и адрес, а затем тайком вводит другие вопросы, такие как номер социального страхования или данные для входа в систему. В качестве альтернативы мошенник может убедить жертву перейти на фишинговую страницу, которая, вероятно, распространяется посредством текстового сообщения или электронной почты во время разговора, после чего жертва затем вводит конфиденциальную информацию.
Смягчение
Хотя методы, используемые мошенниками для сбора целевых списков для малых и средних финансовых учреждений, отличаются от методов, используемых для крупных банков и известных компаний, передовые методы снижения опасностей в основном те же.
Ключевое отличие состоит в том, что историческое отсутствие внимания киберпреступников к созданию фишинговых страниц для малых и средних финансовых учреждений могло привести к тому, что некоторые из этих финансовых учреждений недооценили текущую угрозу, с которой они сталкиваются. В результате на эти финансовые учреждения в настоящее время оказывается большее давление, чтобы обеспечить наличие у них процессов для отслеживания фишинговых атак, имитирующих их организацию, и чтобы их клиенты были должным образом проинформированы об опасностях.
Для людей, имеющих учетную запись в небольшом или среднем финансовом учреждении, лучший способ защитить себя - это уделить дополнительную секунду, чтобы убедиться, что человек, с которым вы разговариваете, или сайт, который вы посещаете, действительно является тем, кем вы являетесь. верьте им.
Если вам позвонил человек, выдающий себя за представителя банка:
- Попросите их предоставить вам добавочный номер, который можно использовать с номером телефона, указанным на их веб-сайте. Если вам не предоставили номер телефона, совпадающий с официальными номерами банка, позвоните по одному из официальных номеров банка и сообщите об этом.
Если вы получили электронное письмо от своего банка:
- Лучше не переходить по ссылкам в электронном письме. Вместо этого войдите в свой банковский счет прямо из браузера, чтобы просмотреть возможные предупреждения. Или позвоните в свой банк по номеру, указанному на их веб-сайте.
- Проверьте, куда будет отправлена ссылка, наведя на нее курсор. Если он показывает домен, который не совсем соответствует домену вашего финансового учреждения, не нажимайте на него.
- Дважды проверьте адрес электронной почты отправителя, чтобы убедиться, что он действительно исходит с адреса электронной почты, связанного с банком. Найдите адрес электронной почты отправителя в поисковой системе, чтобы убедиться, что этот адрес электронной почты ранее сообщался как мошеннический. Или убедитесь, что отображаемое имя поля отправителя электронного письма не было подделано.
- Всегда проявляйте особую осторожность, если банк требует от вас предоставить подробные данные платежной карты и PII для «проверки» вашей личности при входе в систему. Для небанковских сайтов всегда подтверждайте, что сумма PII, которую вы предоставляете, соответствует продукту или услуге, которыми вы являетесь. покупка.
]Заключение
Разработке новых методов нацеливания фишинговых атак на клиентов малых и средних финансовых учреждений способствовало появление различных фишинговых сервисов киберпреступников. Из-за легкости, с которой мошенники могут заказать настраиваемую фишинговую страницу и платить другим участникам за направление трафика на их сайт, единственным препятствием, не позволяющим мошенникам активизировать таргетинг на малые и средние финансовые учреждения, является доступность данных о жертвах. с указанием их финансового учреждения и адреса электронной почты или номера телефона.
По мере того, как все больше мошенников находят способы извлекать информацию о жертвах и начинают понимать ценность продажи этих данных, результатом, вероятно, будет дальнейший рост фишинговых атак на клиентов малых и средних финансовых учреждений. Поскольку эти типы атак основаны на обмане жертвы, а не на слабой защите, лучшая стратегия для отдельных лиц - следовать хорошо зарекомендовавшим себя методам защиты от фишинга. Для самих малых и средних финансовых учреждений лучшая стратегия - обеспечить наличие процессов для отслеживания фишинговых атак, направленных на их клиентов, и информирования клиентов об опасностях.
