Non classé

Raccrocher, rechercher et rappeler – Krebs on Security


De nombreuses personnes soucieuses de la sécurité pensent probablement qu’elles ne dénonceront jamais les escroqueries par phishing par téléphone. Mais si votre réponse à une telle escroquerie implique autre chose que de suspendre et de sonner l’unité appelante, vous pourriez être dans un réveil brutal. De cette façon, un lecteur averti en sécurité et en technologie a gagné plus de 10 000 $ dans un livre détaillé d’une semaine.

La leçon d’aujourd’hui sur la façon de ne pas se faire arnaquer vient du mot «Mitch», un surnom que j’ai choisi pour un lecteur californien qui a partagé son histoire troublante de manière anonyme. Mitch est un vétéran de l’industrie de la technologie – ayant travaillé pendant un certain temps dans la sécurité dans un assez grand service basé sur le cloud – il est donc naturellement confus d’avoir obtenu ce plan de confiance.
Vendredi 17 avril, Mitch a reçu un appel de son opinion sur son institution financière, l’avertissant de fraude. Mitch a déclaré que l’ID de l’appelant entrant montrait le même numéro de téléphone imprimé au dos de sa carte de débit.
Mais Mitch en savait assez sur les escroqueries pour comprendre que les escrocs peuvent et souvent trichent les numéros de téléphone. Ainsi, alors qu’il était toujours au téléphone avec l’appelant, il s’est rapidement connecté à son compte et a constaté qu’il y avait en effet plusieurs événements non autorisés qui se rétablissaient depuis plusieurs semaines. La plupart étaient des paiements relativement petits – moins de 100 $ la pièce – mais deux retraits récents de 800 $ aux DAB ont également été effectués en Floride.
Si l’appelant avait été frauduleux, a-t-il soutenu à l’époque, il aurait demandé des informations personnelles. Mais la gentille femme au téléphone n’a pas demandé à Mitch des informations personnelles. Au lieu de cela, il l’a rassuré calmement que la banque annulerait les paiements frauduleux et a dit qu’il lui enverrait une nouvelle carte de débit par courrier express. Après s’être assuré que l’agent ne savait pas quelles transactions n’étaient pas les siennes, Mitch a remercié la femme de l’avoir informé et a raccroché.
Le lendemain, Mitch a reçu un nouvel appel pour soupçonner une fraude sur son compte bancaire. Aucune conversation ne semblait correcte, alors Mitch a décidé d’utiliser un autre téléphone pour appeler le service client de sa banque – tout en gardant le premier appel en attente.
« Lorsque l’agent a finalement répondu à mon appel, je leur ai demandé de confirmer que j’étais sur leur téléphone sur leur deuxième ligne pendant l’appel qu’ils ont commencé vers moi, et donc l’agent a en quelque sorte vérifié et a vu que Mitch avait un autre appel actif », a-t-il déclaré. « Mais en fin de compte. , un autre appel était que les assaillants ont également parlé à ma banque en se faisant passer pour moi.  »
Mitch a déclaré que son institution financière avait précédemment vérifié son identité par téléphone en lui envoyant un code unique à un numéro de téléphone portable stocké dans son compte et en lui demandant de relire ce code. Après avoir raccroché un appel d’un représentant du service client, la personne de l’appel initial a indiqué que la banque lui enverrait un code unique pour vérifier son identité.
Maintenant, confiant qu’il parlait à un représentant de sa banque, et non à un fraudeur, Mitch a relu le code qui est apparu sous forme de SMS peu de temps après. Après avoir vérifié que toute contrefaçon supplémentaire serait débitée de son compte et qu’il recevrait bientôt une nouvelle carte, Mitch était agacé mais satisfait par ailleurs. Il a déclaré avoir vérifié son compte en ligne plusieurs fois au cours du week-end, mais ne voir plus aucun signe d’activité non autorisée.

En d’autres termes, le lundi suivant, lorsque Mitch s’est reconnecté et a constaté qu’un virement bancaire sortant de 9 800 $ avait été envoyé sur son compte. À l’époque, l’aube de Mitch était que les appels du vendredi et du samedi provenaient probablement d’escrocs – pas de sa banque.
Un nouvel appel à son institution financière et une augmentation de son service de fraude ont confirmé cette suspicion: l’enquêteur a déclaré qu’un autre homme avait appelé Mitch samedi pour déclarer qu’il avait fourni un code unique que la banque avait envoyé au numéro de téléphone du compte de Mitch. – le même code que le vrai Mitch a été amené à abandonner – puis a commencé le virement bancaire sortant.
Il semble que le premier appel effectué vendredi ait été pour lui faire croire que votre banque était au courant d’une fraude active sur son compte et y a réagi alors qu’en fait la banque n’était pas à l’époque. L’appel de vendredi a également aidé à établir un plus grand abonné le lendemain.
Mitch a déclaré que lui et la banque pensaient maintenant qu’à un moment donné, sa carte bancaire et son code PIN avaient très probablement été volés avec un disjoncteur implanté dans une prise endommagée, une pompe à essence ou un distributeur de billets qu’il avait utilisé ces dernières semaines. . Armés de copies contrefaites de sa carte de débit et de son NIP, les fraudeurs pouvaient retirer de l’argent de leurs comptes aux guichets automatiques et faire du shopping dans de grands magasins pour divers articles. Mais pour transférer beaucoup d’argent de votre compte à la fois, ils avaient besoin de l’aide de Mitch.
En raison de la pire situation, l’enquêteur sur la fraude a déclaré que le virement bancaire de 9 800 $ avait été envoyé sur un simple compte bancaire en ligne également au nom de Mitch. Mitch a déclaré qu’il n’avait pas ouvert de compte, mais cela pourrait aider les fraudeurs à ignorer tous les billets frauduleux provenant d’un transfert non autorisé, car du point de vue de la banque, Mitch n’aimait que l’argent pour son autre compte. Maintenant, il est confronté à la tâche difficile de faire nettoyer le vol d’identité (fraude sur un nouveau compte) uniquement dans les services bancaires en ligne.
Mitch a déclaré qu’il y avait plusieurs bizarreries rétrospectives qui étaient censées être des drapeaux rouges supplémentaires. Tout d’abord, lors de son appel à la banque samedi lors de l’arrestation pour fraude, un représentant du service client a demandé à rendre visite à des membres de sa famille en Floride.
Mitch a répondu que non, il n’y avait aucun membre de sa famille. Mais quand il s’est entretenu avec le service des fraudes de la banque le lundi suivant, l’enquêteur a déclaré que les fraudeurs avaient fait un effort pour ajouter avec succès de faux « rapports de voyage » à son compte – informant efficacement la banque qu’il s’était rendu en Floride et devait être ignoré. toutes les alertes de fraude géographique générées par les transactions par carte dans cette zone à ce moment-là. Cela expliquerait pourquoi sa banque n’a rien vu d’étrange à propos de son client californien qui a soudainement utilisé sa carte en Floride.
De plus, lorsque les mauvais représentants du service client l’ont appelé, il a trébuché un peu lorsque Mitch a renversé la situation sur lui. Dans le cadre des faux scripts de vérification des clients, il a demandé à Mitch de fournir son adresse physique.
« Je lui ai dit: » Dis-moi « et il m’a lu l’adresse de la maison où j’étais, » se souvient Mitch. «Il parcourait donc certains documents publics qu’il avait trouvés, apparemment parce qu’ils connaissaient mon ancien employeur et mon adresse. Et il a dit: « Monsieur, je suis dans un centre d’appels, et au-dessus de la tête des caméras que je ferai mon travail .. » Je suis juste d’être juste une nouvelle ou merde dans leur travail, mais qui sait, peut-être qu’il disait la vérité tout cas, tout le temps avec ma copine assise à côté de moi en écoutant cette conversation, et il l’a fait. est comme « Cela ressemble à de la merde. »

La banque de Mitch a réussi à annuler le virement bancaire non autorisé avant qu’il ne puisse se produire, et ils ont depuis remis tous les fonds volés sur son compte et émis une nouvelle carte. Mais il a dit qu’il avait toujours l’impression de ne pas suivre la règle d’or: si quelqu’un appelle en disant qu’il vient de votre banque, parlez-en et appelez-le – de préférence en utilisant le numéro de téléphone provenant du site Web de la banque ou derrière la carte de débit. En l’occurrence, Mitch n’a suivi que la moitié de ces conseils.
Quoi d’autre aurait pu rendre plus difficile pour les fraudeurs de se rendre à Mitch? Il aurait pu autoriser les appareils mobiles à recevoir des SMS à tout moment lorsqu’un nouvel événement est publié sur son compte. S’il n’avait pas pu surveiller de plus près le solde de son compte bancaire.
Si Mitch avait auparavant placé une couverture d’assurance sur son dossier de crédit dans les trois plus grands bureaux de crédit à la consommation, les fraudeurs n’auraient probablement pas pu ouvrir un nouveau compte courant en ligne en son nom pour recevoir un virement bancaire de 9800 $ (bien qu’ils aient toujours pu transférer de l’argent vers un autre compte qu’ils gèrent).
Comme le montre l’expérience de Mitch, de nombreuses personnes soucieuses de la sécurité ont tendance à se concentrer sur leur protection en ligne et peut-être à prévenir les menaces d’escroqueries par téléphone moins avancées sur le plan technologique. Dans ce cas, Mitch et la banque ont décidé que ses agresseurs n’avaient jamais essayé de se connecter à leur compte en ligne.
« Fait intéressant, toute la fraude a été finalisée par téléphone, et à aucun moment les escrocs n’ont mis en danger mon compte en ligne », a déclaré Mitch. «J’aurais certainement dû raccrocher et commencer l’appel moi-même. Et en tant que professionnel de la sécurité, cela fait partie de la honte que je porte depuis longtemps.  »
Pour plus d’informations:
Les escroqueries audio sont encore plus intelligentes
Pourquoi les numéros de téléphone pue comme preuve d’identité
Les escroqueries de pêche sur Apple Phone s’améliorent
SMS Phishing + ATM sans carte = profit

Cette entrée a été publiée le jeudi 23 avril 2020 à 13 h 27 et est classée dans A Little Sunshine, Latest Warnings, Upcoming Storm.
Vous pouvez suivre toutes les réponses à cette entrée via le flux RSS 2.0.

Vous pouvez sauter à la fin et laisser un commentaire. Le ping n’est pas autorisé actuellement.

Cardano est une chaîne de marteau de contrats intelligents. Cette crypto-monnaie a été initialement publiée moins le nom d’Input Output Hong Kong pendant Charles Hoskinson et Jeremy Wood, quelques-uns des originel membres de l’équipe d’Ethereum, alors rebaptisé Cardano. Cardano essaie de résoudre plusieurs des problèmes plus vitaux du monde de la cryptomonnaie qui causent des problèmes continus depuis des années, tel que problèmes d’évolutivité et le vote démocratisé. Ils ont le possible de contester la domination d’Ethereum sur la planète des contrats intelligents. Cardano est en train de renforcer propre langage de programmation similaire à Ethereum ; cependant, elles se concentrent davantage sur l’interopérabilité entre autres cryptomonnaies. Alors que plusieurs cryptomonnaies sont toutes mordantes mais pas d’écorce, Cardano est tout le contraire. Ils se concentrent tranquillement sur un logiciel puissant qui existera complètement open-source. L’équipe de Cardano comprend certains des plus puissants cerveaux de l’industrie de la blockchain, et elles cherchent à composer une base solide sur laquelle quelques peuvent s’appuyer pour années à venir.