Dandanes ima večina od nas telefone, ki prikažejo številko klicača, preden odgovorimo.
Ta »funkcija« se pravzaprav vrača v šestdeseta leta prejšnjega stoletja in je v severnoameriški angleščini znana kot ID klicatelja, čeprav dejansko ne identificira klicatelja, ampak samo številko klicatelja.
Drugje v angleško govorečem svetu boste videli ime CLI namesto tega se uporablja okrajšava za Identifikacija klicne linije, kar se na prvi pogled zdi boljši, bolj natančen izraz.
Ampak tukaj je stvar: ali ga pokličete ID klicatelja or CLI, ni več uporabna pri identifikaciji dejanske telefonske številke klicatelja kot From: glavo v e-poštnem sporočilu je pri prepoznavanju pošiljatelja elektronske pošte.
Pokažite, kaj vam je všeč
Ohlapno povedano, prevarant, ki ve, kaj počne, lahko pretenta vaš telefon, da kot vir svojih klicev prikaže skoraj katero koli želeno številko.
Razmislimo, kaj to pomeni.
Če prejmete dohodni klic s številke, ki je ne poznate, skoraj zagotovo ni bil opravljen s telefona, ki pripada nekomu, ki ga poznate dovolj dobro, da ga imate na seznamu stikov.
Zato bi lahko kot ukrep kibernetske varnosti, namenjen izogibanju klicem ljudi, ki jih ne želite slišati, ali ki bi lahko bili prevaranti, uporabili žargonski izraz nizka lažno pozitivna stopnja za opis učinkovitosti CLI.
Lažno pozitiven rezultat v tem kontekstu predstavlja klic nekoga, ki ga poznate, klic s številke, ki bi ji lahko varno zaupali, ki je napačno zaznan in napačno blokiran, ker je to številka, ki je ne prepoznate.
Takšna napaka je malo verjetna, saj se niti prijatelji niti prevaranti verjetno ne bodo pretvarjali, da so nekdo, ki ga ne poznate.
Toda ta uporabnost deluje le v eno smer.
Kot ukrep kibernetske varnosti, ki vam pomaga prepoznati klicatelje, ki jim zaupate, ima CLI skrajnost lažno negativen problem, kar pomeni, da če se prikaže klic iz Dadali Auntie Gladys, ali morda še pomembneje, od Your Bank...
…potem obstaja veliko tveganje, da gre za prevarantski klic, ki je bil namerno prirejen, da bi mimo vaše "ali poznam klicatelja?" test.
Nobenega dokaza za karkoli
Preprosto povedano: številke, ki se prikažejo na vašem telefonu, preden sprejmete klic, le nakazujejo, kdo kliče, in bi morale nikoli ne uporabljajte kot "dokaz" identitete klicatelja.
Dejansko je bil do začetka tega tedna spletni sistem kriminalne programske opreme kot storitev na voljo prek neoprostljivo poimenovanega spletnega mesta ispoof.cc, kjer bi morebitni vishing (glasovno lažno predstavljanje) kriminalci lahko kupili telefonske storitve prek interneta z vključenim ponarejanjem številk.
Z drugimi besedami, za skromne začetne izdatke so prevaranti, ki sami niso bili dovolj tehnični, da bi vzpostavili lastne goljufive internetne telefonske strežnike, vendar so imeli veščine socialnega inženiringa, ki so jim pomagale očarati, zavesti ali ustrahovati žrtve. telefon…
… se lahko na vašem telefonu vseeno prikaže kot davčni urad, kot vaša banka, kot vaša zavarovalnica, kot vaš ponudnik internetnih storitev ali celo kot prav telefonsko podjetje, pri katerem ste kupovali lastno storitev.
Zgoraj smo zapisali "do začetka tega tedna", ker je bilo spletno mesto iSpoof zdaj zaseženo, zahvaljujoč globalni operaciji proti kibernetskemu kriminalu, ki je vključevala ekipe organov pregona v vsaj desetih različnih državah (Avstralija, Kanada, Francija, Nemčija, Irska, Litva, Nizozemska , Ukrajina, Združeno kraljestvo in ZDA):
Megabust izveden
Zaseg domene clearweb in prenos njene ponudbe brez povezave pogosto nista dovolj sama po sebi, nenazadnje tudi zato, ker bodo kriminalci, če bodo ostali na prostosti, pogosto še vedno lahko delovali na temnem spletu, kjer so odstranitve veliko težje zaradi težave pri sledenju, kje so strežniki dejansko.
Ali pa se bodo prevaranti preprosto znova pojavili z novo domeno, morda pod novo »blagovno znamko«, ki jo servisira še manj skrbno gostujoče podjetje.
Toda v tem primeru je zasegu domene kmalu sledilo veliko število aretacij – 142, pravzaprav, glede na Europol:
Pravosodni organi in organi kazenskega pregona v Evropi, Avstraliji, Združenih državah, Ukrajini in Kanadi so odstranili spletno mesto, ki je goljufom omogočalo lažno predstavljanje zaupanja vrednih korporacij ali stikov za dostop do občutljivih informacij žrtev, vrsta kibernetskega kriminala, znana kot "spoofing". Spletno mesto naj bi povzročilo ocenjeno svetovno izgubo v višini več kot 100 milijonov funtov (115 milijonov evrov).
V usklajeni akciji pod vodstvom Združenega kraljestva in ob podpori Europola in Eurojusta je bilo aretiranih 142 osumljencev, vključno z glavnim skrbnikom spletne strani.
Po podatkih londonske metropolitanske policije je bilo več kot 100 teh aretacij samo v Združenem kraljestvu, do 200,000 žrtev Združenega kraljestva opeharjenih za več milijonov funtov:
iSpoof je uporabnikom, ki so storitev plačali v bitcoinih, omogočil, da prikrijejo svojo telefonsko številko, tako da je bilo videti, da kličejo iz zaupanja vrednega vira. Ta postopek je znan kot "spoofing".
Kriminalci skušajo ljudi zavesti, da jim izročijo denar ali posredujejo občutljive podatke, kot so enkratna gesla za bančne račune.
Povprečna izguba tistih, ki so poročali, da so tarča, naj bi znašala 10,000 funtov.
V 12 mesecih do avgusta 2022 je bilo prek iSpoof globalno opravljenih približno 10 milijonov goljufivih klicev, od tega približno 3.5 milijona klicev v Združenem kraljestvu.
Od tega je 350,000 klicev trajalo več kot eno minuto in je bilo opravljenih 200,000 posameznikom.
Po poročanju BBC-ja je domnevni vodja je bil 34-letnik po imenu Teejai Fletcher, ki je bil 2022. 12. 06 zadržan v priporu do nastopa na sodišču v Southwarku v Londonu.
Kaj storiti?
- NAMIG 1. ID klicatelja ne obravnavajte kot nič drugega kot namig.
Najpomembnejša stvar, ki si jo morate zapomniti (in razložiti vsem prijateljem in družini, za katere menite, da bi lahko bili izpostavljeni tej vrsti prevare), je naslednja: ŠTEVILKA KLICATELJA, KI SE PRIKAŽE NA VAŠEM TELEFONU, PREDEN SE ODGOVORITE, NE DOKAZUJE NIČESAR.
Te ID številke klicatelja niso nič boljšega kot nejasen namig o osebi ali podjetju, za katerega se zdi, da vas kliče.
Ko zazvoni telefon in poimenuje klic z besedami Your Bank's Name Here, ne pozabite, da besede, ki se prikažejo, izvirajo iz vašega lastnega seznama stikov, kar pomeni nič več kot to, da se številka, ki jo je posredoval klicatelj, ujema z vnosom, ki ste ga sami dodali v svoje stike.
Povedano drugače, številka, povezana z dohodnim klicem, ne zagotavlja nič več "dokazila identitete" kot besedilo v Subject: vrstico e-pošte, ki vsebuje vse, kar je pošiljatelj izbral za vnos.
- NASVET 2. Uradne klice vedno začnite sami in uporabite številko, ki ji lahko zaupate.
Če morate resnično vzpostaviti stik z organizacijo, kot je vaša banka, po telefonu, poskrbite, da boste sami začeli klic in uporabite številko, ki ste jo izbrali sami.
Oglejte si na primer nedavni uradni bančni izpisek, preverite hrbtno stran svoje bančne kartice ali celo obiščite poslovalnico in osebno vprašajte osebje za uradno številko, ki bi jo morali poklicati v prihodnjih nujnih primerih.
- NAMIG 3. Ne dovolite, da vas naključje prepriča, da je klic pristen.
Nikoli ne uporabljajte naključja kot »dokaz«, da mora biti klic pristen, kot na primer domneva, da je klic »zagotovo« iz banke preprosto zato, ker ste imeli to jutro nekaj nadležnih težav z internetnim bančništvom ali ste plačali novemu dobavitelju za prvo čas šele danes popoldne.
Ne pozabite, da so prevaranti iSpoof v 3,500,000-mesečnem obdobju opravili vsaj 6.5 klicev samo v Združenem kraljestvu (in 12 milijona klicev drugje), pri čemer so prevaranti opravili povprečno en klic vsake tri sekunde ob najverjetnejših urah dneva, tako da naključja kot to niso samo možni, so prav tako dobri kot neizogibni.
Ti prevaranti ne nameravajo prevarati 3,500,000 ljudi za 10 GBP vsakega ... pravzaprav jim je veliko manj dela, da prevarajo po 10,000 GBP od nekaj tisoč ljudi, tako da imajo srečo in vzpostavijo stik s tistimi nekaj tisoč ljudmi na v trenutku, ko so najbolj ranljivi.
- NASVET 4. Bodite tam za ranljive prijatelje in družino.
Prepričajte se, da prijatelji in družina, za katere menite, da bi lahko bili ranljivi, da bi jih prevaranti sladkobesedili (ali prevarali, zmešali in ustrahovali), ne glede na to, kako so prvič stopili v stik, vedo, da se lahko in morajo obrniti na vas za nasvet, preden pristanejo karkoli po telefonu.
In če jih kdo prosi, naj storijo nekaj, kar je očitno vdor v njihov osebni digitalni prostor, na primer namestitev Teamviewerja, da jim omogoči vstop v računalnik, prebiranje skrivne dostopne kode z zaslona ali sporočanje osebne identifikacijske številke ali gesla ...
… se prepričajte, da vedo, da je v redu preprosto odložiti slušalko, ne da bi spregovorili še eno besedo, in stopiti v stik z vami, da najprej preverijo dejstva.
Oh, še nekaj: londonski policisti so povedali, da so med to preiskavo pridobili datoteko zbirke podatkov (predvidevamo, da je iz neke vrste sistema za beleženje klicev), ki vsebuje 70,000,000 vrstic, in da so identificirali ogromno 59,000 osumljencev, od katerih je nekje severno od 100 že aretiranih.
Jasno je, da ti osumljenci niso tako anonimni, kot so morda mislili, zato se policisti najprej osredotočajo na "tisti, ki so porabili vsaj £100 Bitcoin za uporabo spletnega mesta."
Goljufi na nižjem nivoju morda še ne potrkajo na vrata, a morda je le vprašanje časa ...
V NAŠEM PODCASTU POROČILO O GROŽNJAH IZVEDITE VEČ O RAZŠIRJENOSTI KIBERTERSKEGA KRIMINALA IN KAKO SE MU UČINKOVITO BORITI
Kliknite in povlecite spodnje zvočne valove, da preskočite na katero koli točko. Lahko tudi poslušaj neposredno na Soundcloudu.
Celoten prepis za tiste, ki raje berejo kot poslušajo.
S Paulom Ducklinom in Johnom Shierjem.
Uvodna in končna glasba avtorja Edith Mudge.
Poslušate nas lahko na Soundcloud, Apple Podcasts, Google Podcasti, Spotify, Krojač in povsod, kjer so na voljo dobri podcasti. Ali pa preprosto spustite URL našega vira RSS v vaš najljubši podcatcher.
- Coinsmart. Najboljša evropska borza bitcoinov in kriptovalut.Klikni tukaj
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://nakedsecurity.sophos.com/2022/11/25/voice-scamming-site-ispoof-seized-100s-arrested-in-massive-crackdown/
