.avif)
4 Minutės
Apžvalga: didelio masto mobili phishing kampanija nukreipta į JAV mokėjimo kortas
Saugumo tyrėjai įspėja apie išsamią mobiliųjų phishing bangą, dažnai vadinamą „smishing“, kuri yra susijusi su kiniškai kalbančiomis kibernetinių nusikaltėlių grupėmis ir gali paveikti iki 115 milijonų JAV mokėjimo kortelių per šiek tiek daugiau nei metus. SecAlliance analizė išryškina, kaip šiuolaikinis socialinės inžinerijos požiūris susiliejo su realaus laiko autentifikacijos apeigomis ir skalabilia phishing infrastruktūra, sudarančia naują kortų sukčiavimo epochą.
Kaip veikia kampanijos
Phishing įrankių rinkiniai ir platinimas
Šio pobūdžio operacijų šerdyje yra kartą naudoto phishing įrankių rinkiniai, plačiai platinami per Telegram kanalą, žinomo kaip „dy-tongbu“. Šie rinkiniai sukurti būti slepiamų veikimu: jie naudoja geografinio apribojimo funkcijas, IP ir vartotojo agento blokavimą, kad tyrėjai juos aptiktų sunkiai, ir yra skirtas mobiliųjų įrenginių puslapiams, kad rodomų tik potencialioms aukoms.
Socialinė inžinerija ir platinimo vektoriai
Atakotojai paprastai siunčia SMS, iMessage ar RCS pranešimus, imituojančius teisėtus pranešimus — siuntas, kelio mokesčius arba paskyros patvirtinimo užklausas — skatindami gavėjus spustelėti nuorodas, kurios veda į mobiliųjų įrenginių puslapius, suklastotus kaip patvirtinimo langai. Aukos raginamos įvesti asmeninę informaciją ir mokėjimo kortelių duomenis; puslapiai dažnai yra laikini, sinchroniškai su vienkartiniais slaptažodžiais (OTP) siekiant padidinti sėkmės tikimybę.
Techninis vystymasis: OTP ir skaitmeninės piniginės piktnaudžiavimas
Kartą surinkus prisijungimo duomenis ir OTP realiu laiku, nusikaltėliai įveda kortas į skaitmenines pinigines įrenginius, kuriuos jie valdo. Tai leidžia atlikti kortų sandorius neatsižvelgiant į fizinę kortelę ir, itin svarbu, panaudoti pavogtus duomenis fiziniuose terminaluose, internetinėse parduotuvėse ir bankomatuose — dažnai be paties plastikinio ženklo. Tyrėjai apibūdina posūkį į skaitmeninės piniginės diegimą kaip esminį šuolį kortų sukčiavimo metodikoje.
Kas yra už to slypinti?
Tyrėjai identifikavo asmenį, vadinamą „Lao Wang“, kaip kilmės šaltinį plačiai naudojamai mobiliųjų įgaliojimų rinkimo platformai, kuri dabar pritaikyta įvairioms kriminalinėms grupėms. Ekosistema pagaliau subrendusi: joje atsirado netikrų e-komercijos parduotuvių, apgaulingų brokerių svetainių, iš anksto įkrautų įrenginių, neteisingų prekybininkų paskyrų ir net mokamų reklamų didžiosioms platformoms, siekiant pritraukti srautą.
Produktų savybės, palyginimai ir anti-fraud sprendimų pranašumai
Finansų įstaigos ir saugumo tiekėjai pritaiko sprendimus. Šiuolaikiniai anti-fraud ir mobiliųjų saugumo produktai apima tokias funkcijas kaip:
- Elgesio biometrika, skirta atpažinti įtartinas sąveikas, kurios apeina OTP
- Įrenginio piršto atvaizdavimas ir kriptografinis patvirtinimas piniginės diegimui
- Realiojo laiko sandorių vertinimas ir adaptyvūs MFA iššūkiai
- Išplėstinis SMS filtravimas su grėsmių intelektu ir URL perrašymu
Palyginus su senesnėmis antivirusinėmis paketams ir paprastais SMS filtrais, šios naujos kartos sprendimai suteikia tvirtesnę apsaugą, nes jos orientuojasi į sukčiavimo signalus (elgesys, įrenginių vientisumas, sandorio kontekstas), o ne tik į vienetinį ženklų aptikimą.
Naudojimo atvejai ir rinkos svarba
Naudojimo atvejai pagerintiems sukčiavimo valdymams apima kortelių išdavėjų galimybę užkirsti įsilaužimams į sąskaitas, skaitmeninių piniginių teikėjų patvirtinant diegimo užklausas, prekybininkų mažinant atsisakymus ir telekomų operatoriams apsaugoti abonentu nuo smishing. Kadangi skaitmeniniai mokėjimai ir mobiliųjų piniginių naudojimas visame pasaulyje auga, poreikis pažangioms anti-fraud technologijoms, tokenizacijos paslaugoms ir sandorių stebėsenai tapo pagrindiniu rinkos varikliu fintech ir kibernetinio saugumo tiekėjams.
Praktiniai žingsniai: Kaip patikrinti, ar galite būti paveikti
Kadangi šios kampanijos yra paslėptos ir nėra vieno bendro viešo registro paveiktų kortelių, asmenys turėtų imtis aktyvių veiksmų, kad aptiktų piktnaudojimą:
- Peržiūrėti neseniai atliktas banko operacijas ir kortelių išrašus dėl nepažintų įrašų.
- Patikrinti skaitmeninės piniginės veiklą ir pašalinti žinomų ar nepažįstamų kortelių ar įrenginių įrašus.
- Stebėti OTP ar patvirtinimo prašymus, kurių neiššaukėte pats.
- Naudotis duomenų nutekėjimo pranešimais, kad sužinotumėte, ar jūsų duomenys pateko į žinomus nutekėjimus.
- Įjungti realaus laiko sandorių įspėjimus ir nustatyti žemus pranešimų slenksčius.
- Apsvarstyti kortelių pakeitimą, jei matote įtartiną įgalinimą ar sandorius.
Išvada
Smishing kampanijos išsivystė iš žemo lygio SMS sukčiavimų į labai taikinius veiksmus, kurie sujungia socialinę inžineriją, realiu laiku renkamus prisijungimo duomenis ir skaitmeninės piniginės diegimą. Organizacijoms reikia atnaujinti apsaugą ir įgyvendinti elgesio analizę, tokenizaciją ir įrenginių patikimumo patvirtinimą, o vartotojams būti budriems: stebėti sąskaitas, įjungti įspėjimus ir laikyti netikėtus patvirtinimo prašymus kaip galimo pažeidimo požymius.
Šaltinis: techradar
Komentarai