Користувачі платіжних додатків частіше стають жертвами телефонних здирників

Кіберзлочинці намагаються обдурити американських користувачів додатків для цифрових платежів, щоб вони здійснювали миттєві грошові перекази в атаках із використанням соціальної інженерії, використовуючи текстові повідомлення з підробленими попередженнями про банківське шахрайство.

У попередженні, опублікованому Федеральним бюро розслідувань у четвер як оголошення державної служби, йдеться, що зловмисники дзвонитимуть жертвам, які відповідають на їхнє фішингове повідомлення, з телефонних номерів, підробляючи законний номер служби підтримки банків 1-800.

«Під приводом скасування фальшивого грошового переказу жертв обманним шляхом змушують відправляти платежі на банківські рахунки, що знаходяться під контролем кіберзлочинців», — заявили у ФБР.

Підроблені попередження про шахрайство посилаються на суму платежу та назви фінансових установ та просять жертв підтвердити, чи намагалися вони здійснити миттєві платежі на тисячі доларів. Якщо одержувачі дадуть відповідь на фішингове SMS та відмовляться від здійснення такого платежу, вони отримають друге текстове повідомлення про те, що з ними зв’яжуться «найближчим часом».

Шахраї дзвонять, як і обіцяли, зазвичай говорячи англійською без акценту і стверджуючи, що представляють відділ банківського шахрайства жертви. Кінцева мета полягає в тому, щоб обманом змусити жертв «скасувати» підроблену транзакцію миттєвого платежу, попросивши їх видалити свою адресу електронної пошти з платіжної програми та прив’язати її до адреси, яка перебуває під контролем зловмисників.

«Актор, запросивши адресу електронної пошти жертви, додає її до банківського рахунку, контрольованого актором початкової шахрайської спроби оплати», — пояснили у ФБР. «Вважаючи, що вони відправляють транзакцію собі, жертви насправді відправляють миттєві платіжні транзакції зі свого банківського рахунку на банківський рахунок, контрольований актором».

Листування між шахраями та їхніми жертвами може тривати кілька днів, що свідчить про рішучість шахраїв провести атаку з використанням соціальної інженерії.

ФБР також поділилося списком запобіжних заходів, про які повинні знати американці, які використовують додатки для цифрових платежів, щоб не стати жертвами одного з цих шахрайств:

• Будьте обережні з небажаними запитами на перевірку інформації про обліковий запис. Кіберсуб’єкти можуть використовувати адреси електронної пошти та номери телефонів, які потім можуть здаватися належними до законної фінансової установи. Якщо отримано дзвінок або повідомлення про можливе шахрайство або несанкціоновані переклади, не відповідайте безпосередньо.
• Якщо отриманий запит на перевірку інформації про обліковий запис, зв’яжіться з відділом боротьби з шахрайством фінансової установи за перевіреними номерами телефонів та адресами електронної пошти на офіційних веб-сайтах або в документації банку, а не через ті, що вказані в текстах або електронних листах.
• Увімкніть багатофакторну аутентифікацію (MFA) для всіх фінансових рахунків і нікому не повідомляйте коди або паролі MFA через телефон.
• Зрозумійте, що фінансові установи не будуть просити клієнтів переказувати кошти між рахунками, щоб запобігти шахрайству.
• Скептично ставтеся до тих, хто дзвонить, які надають особисту інформацію, таку як номери соціального страхування та минулі адреси, як доказ своєї законності. Поширення великомасштабних витоків даних за останнє десятиліття надало злочинцям величезну кількість персональних даних, які можуть неодноразово використовуватися в різних шахрайствах та шахрайствах.