ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu hafta, kötü niyetli kişilerin, kuruluşun temsilcisi olduklarını iddia ederek telefon görüşmeleri yaptığı ve nakit, hediye kartı veya kripto para transferi talebinde bulunduğuna dair bir uyarı yayınladı.
CISA, “Kimliğe bürünme dolandırıcılıkları artıyor ve sıklıkla devlet çalışanlarının isimlerini ve unvanlarını kullanıyor” dedi. kısa tavsiye. “Bir hatırlatma olarak, CISA personeli asla sizinle para havalesi, nakit para, kripto para birimi veya hediye kartı kullanma talebiyle iletişime geçmeyecek ve tartışmayı gizli tutmanız konusunda size talimat vermeyecektir.”
CISA, saldırıyı kimin gerçekleştirebileceğine ilişkin ek ayrıntı sunmadı sesli kimlik avı (“vishing”) dolandırıcılık girişimleriancak böyle bir program kapsamında iletişime geçilen herkese ödeme talebini reddetmesi, telefon numarasını not etmesi ve telefonu hemen kapatması tavsiye edildi.
Temasa geçilenlerin ayrıca olayı kolluk kuvvetlerine bildirmeleri ve (844) SAY-CISA (844-729-2472) numaralı telefonu arayarak CISA’ya ulaşmaları istendi.
Zimperium’un federal hesaplar müdürü Ezra Graziano, faillerin daha fazla suç faaliyetini finanse etmeyi veya aldatıcı taktiklerinin anlık mali getirilerinden kâr elde etmeyi hedefleyebileceğini söylüyor.
“Bu tür dolandırıcılıklar, organize siber suç grupları veya insanların devlet kurumlarına olan güvenini istismar etmek isteyen bireysel aktörler tarafından düzenlenebilir” dedi. “Bu olay, devlet kurumlarına olan güveni suiistimal etmek için giderek daha fazla karmaşık sosyal mühendislik teknikleri kullanan siber suçluların gelişen taktiklerini vurgulamaktadır.”
Dolandırıcıların CISA çalışanlarını taklit ettiği gerçeğinin, bireylerin ve kuruluşların dikkatli olması gerektiğinin altını çizdiğini de sözlerine ekledi.
Graziano, “Bu aynı zamanda dolandırıcıların tanınmış kurumların otoritesini ve güvenilirliğini istismar etmeyi amaçladığı hedefli kimlik avı saldırılarına yönelik daha geniş bir eğilimi de yansıtıyor” dedi.
Kimliğe bürünme dolandırıcılıklarından etkilenen diğer devlet kurumları arasında FBI ve onun İnternet Suçları Şikayet Merkezi2018’den bu yana hedeflenen şey.
Devlet yetkililerinin ve kurumlarının kimliğine bürünmenin ötesinde, kötü niyetli aktörler de markaları hedeflemek Sahte ürünler satmak veya ürünü göndermeden ödemeleri işlemek için meşru işletmelerin sitelerini taklit eden dolandırıcılık siteleri kurarak.
Bu tür dolandırıcılıkların tüketicilere 2017 yılından bu yana 2 milyar dolardan fazla maliyeti oldu. buna göre ABD Federal Ticaret Komisyonu (FTC).
Eğitim, Öğretim Vishing’e Hazırlanmaya Yardımcı Olur
DomainTools araştırma başkanı Sean McNee, işverenlerin yapabileceği en önemli şeyin, çalışanları çeşitli dolandırıcılık türleri, bunların nasıl çalıştıkları ve bunları nasıl tanıyabilecekleri konusunda eğitmek olduğunu söyledi.
“Bu, dolandırıcıların kullandığı kimliğe bürünme, sosyal mühendislik ve kimlik avı gibi taktikleri anlamayı da içeriyor” diyor.
Örneğin, çalışanlar istenmeyen aramalardan veya e-postalardan şüphelenmeli, bilinmeyen veya yeni arayanların kimliğini doğrulamalı ve hassas bilgilere yönelik olağandışı taleplere karşı dikkatli olmalıdır.
Telefonla yapılan dolandırıcılıkların şu şekilde çalıştığını açıklıyor: Yanlış bir aciliyet duygusu yaratmak alıcıyı normalde yapmayacakları eylemleri yapması için manipüle etmek.
McNee, “Bunu anlamak… etkinliğinin azaltılmasına yardımcı oluyor” diyor.
SlashNext Email Security+’ın CEO’su Patrick Harr, kimliğe bürünme dolandırıcılıklarının uzun süredir dolandırıcıların bir aracı olduğuna, bu sayede yöneticiler, CEO’lar veya diğer yüksek değerli hedefler gibi yüksek değerli bireylerin ve bazen de korkutucu ajanslar olarak algılanabilecek kişilerin kimliğine büründüklerine dikkat çekiyor. IRS gibi. Bu tür dolandırıcılıkların ancak yapay zeka tarafından üretilen ses, video ve metinlerin silah haline getirilmesiyle artacağını öngörüyor.
Bu nedenle, Harr’ın bakış açısına göre, herhangi bir iyi siber savunma, dolandırıcılıklara, kimlik avına, iş e-posta şirketlerine ve diğer sosyal mühendislik saldırılarına karşı çok katmanlı bir savunmadır.
“Öncelikle işletmelerin çok faktörlü kimlik doğrulamaya (MFA), şifre değiştirme kontrolüne, yapay zeka tabanlı e-posta ve mesajlaşma güvenliğine ve tespit ve izlemeye sahip olduğundan emin olun” diye uyarıyor. “Şirketler, kuruluşlar ve bireyler bu dolandırıcılıklarla mücadele etmek için yapay zekayı kendileri kullanmalıdır, aksi takdirde başarının devam ettiğini göreceğiz.”
Kaçırmayın”Veri İhlalinin Anatomisi: Başınıza Geldiğinde Ne Yapmalısınız?,” ücretsiz bir Karanlık Okuma sanal etkinliği 20 Haziran’a planlanıyor! Konuşmacılar arasında Verizon’dan Alex Pinto, Snowflake yöneticileri, ilaç devi GSK, Salesforce ve daha fazlası yer alıyor; bugün kaydolun!