• FTC donosi, że poczta elektroniczna jest popularnym medium dla oszustw polegających na podszywaniu się pod inne osoby

FTC donosi, że poczta elektroniczna jest popularnym medium dla oszustw polegających na podszywaniu się pod inne osoby

Blog

Oszuści podszywają się pod firmy i instytucje rządowe w wiadomościach e-mail w celu kradzieży informacji. Poznaj nowe zasady FTC i wskazówki dotyczące walki z oszustwami polegającymi na podszywaniu się pod inne osoby.

YunesTarada

Czas odczytu: 7 min
FTC donosi, że poczta elektroniczna jest popularnym medium dla oszustw polegających na podszywaniu się pod inne osoby
Spis treści-

W ciągu ostatniej dekady liczba ataków polegających na podszywaniu się pod inne osoby rosła, a na linii ognia znaleźli się uznani giganci korporacyjni i agencje rządowe. The Federalna Komisja Handlu(Consumer Sentinel Network) stale zwraca uwagę na tysiące zgłaszanych jej oszustw polegających na podszywaniu się pod te firmy i organy rządowe.

Problem z tymi atakami polega na tym, że wykorzystują one ludzką psychologię, co czyni je bardzo trudnymi do wykrycia i powstrzymania. Co więcej, oszuści stają się coraz bardziej zaawansowani technologicznie w swoich technikach podszywania się. Ostatecznie zwiększa to wskaźnik skuteczności oszustw. 

Słabe praktyki bezpieczeństwa w organizacjach i brak świadomości wśród pracowników to częste powody, które przyczyniają się do udanych oszustw związanych z podszywaniem się. Do tego stopnia, że tylko w 2023 roku FTC zgłasza 330 000 przypadków oszustw związanych z podszywaniem się pod firmy i 160 000 przypadków oszustw związanych z podszywaniem się pod rząd! W ich Consumer Protection Data Spotlight, FTC ujawniła, że całkowity koszt związany z tymi atakami w ubiegłym roku przekroczył 1 miliard dolarów.

Kluczowe wnioski

  1. Wzrost liczby oszustw polegających na podszywaniu się pod inne osoby jest w dużej mierze spowodowany coraz bardziej wyrafinowanymi technikami oszustów i słabymi praktykami bezpieczeństwa w organizacjach.
  2. Od 2020 r. e-maile i SMS-y stały się głównym medium oszustw polegających na podszywaniu się pod inne osoby, przewyższając tradycyjne oszustwa telefoniczne.
  3. Powszechne oszustwa polegające na podszywaniu się pod inne osoby obejmują fałszywe alerty dotyczące konta, powiadomienia o odnowieniu, niewiarygodne rabaty, problemy z dostawą paczek i groźby podszywania się pod organy ścigania.
  4. Wdrożenie protokołów uwierzytelniania wiadomości e-mail, takich jak SPF, DKIM i DMARC, jest niezbędne dla organizacji, aby skutecznie zapobiegać oszustwom polegającym na podszywaniu się pod inne osoby.
  5. Zwracanie uwagi na sygnały ostrzegawcze w wiadomościach e-mail i weryfikowanie adresów nadawców może znacznie pomóc osobom fizycznym uniknąć padnięcia ofiarą oszustw polegających na podszywaniu się pod inne osoby.

Czym są oszustwa polegające na podszywaniu się? 

Oszustwa polegające na podszywaniu się to cyberzagrożenia, w których atakujący podszywa się pod organizację, instytucję lub osobę fizyczną, aby nakłonić ofiary do ujawnienia poufnych informacji. Oszustwa związane z podszywaniem się są zazwyczaj motywowane finansowo lub w celu uzyskania dostępu do wewnętrznych systemów i informacji organizacji. 

Kto jest celem ataku?

W rzeczywistości każdy może zostać podszyty online. Jednak mając na uwadze motyw opłacalności, cyberprzestępcy zazwyczaj podszywają się pod następujące popularne cele w oszustwach: 

  1. Znane firmy prywatne 
  2. Agencje rządowe
  3. Banki i instytucje finansowe 
  4. Uczelnie, uniwersytety i inne instytucje edukacyjne 
  5. Kadra kierownicza wysokiego szczebla (CEO, CTO, CFO)
  6. Przyjaciele i rodzina 

Uprość bezpieczeństwo z PowerDMARC!

15-dniowy trialZamów demo

Jakie metody są stosowane?  

Do przeprowadzania oszustw polegających na podszywaniu się atakujący mogą wykorzystywać następujące metody: 

1. Email phishing: Wiadomości ph ishingowe są zwykle wysyłane z fałszywych lub podrobionych nazw domen, podszywając się pod prawdziwe organizacje w celu oszukania ich obecnych lub potencjalnych klientów.

2. Vishing/Smishing: Podobny do phishingu, ale przeprowadzany za pośrednictwem połączeń telefonicznych lub SMS-ów, atakujący podszywają się pod legalne źródła w celu wydobycia poufnych informacji.

3. Media społecznościowe: Podszywanie się pod inne osoby jest bardzo powszechne w mediach społecznościowych, gdzie oszuści tworzą fałszywe profile istniejących użytkowników w celu rozpowszechniania dezinformacji lub oszukiwania znajomych i rodziny. Przejęcie konta to kolejny sposób, w jaki można popełniać oszustwa związane z podszywaniem się pod media społecznościowe.

Jakie są cele? 

Ostatecznym celem oszustw polegających na podszywaniu się jest: 

  1. Kradzież poufnych informacji, takich jak dane logowania, hasła do kont, dane kart kredytowych i debetowych itp. 
  2. Kradzież lub przelewanie pieniędzy od ofiar i organizacji 
  3. Manipulowanie ofiarami w celu pobrania oprogramowania ransomware i złośliwego oprogramowania do ich systemów.
  4. Kradzież tożsamości 

5 największych oszustw związanych z podszywaniem się zgłoszonych przez konsumentów do FTC w 2023 r. 

FTC w swoim raporcie Data Spotlight wymieniła następujące oszustwa, które były najczęściej zgłaszane przez konsumentów w 2023 roku: 

1. Fałszywe alerty bezpieczeństwa konta 

Załóżmy, że otrzymałeś wiadomość od swojego banku z informacją, że przelałeś kwotę X, z prośbą o potwierdzenie, czy dokonałeś tej transakcji. Jest to dość standardowa wiadomość wysyłana przez banki podczas dokonywania transakcji w celach bezpieczeństwa. Tyle tylko, że wiadomość nie pochodzi z banku. Tym razem pochodzi od atakującego podszywającego się pod Twój bank, aby nakłonić Cię do przelania środków. 

2. Fałszywe powiadomienia o odnowieniu konta

Miałeś konto Netflix, którego nie odnawiałeś od jakiegoś czasu i nagle otrzymujesz powiadomienie od Netflix informujące, że dokonują automatycznego odnowienia, które potrąci pieniądze z twojego konta. Jest to zaskakujące i natychmiast zachęca do podjęcia działań. To fałszywe powiadomienie od oszusta podszywającego się pod Netflix jest inspirowane podobnymi oszustwami zgłaszanymi przez konsumentów do FTC. 

3. Niesamowite oferty rabatowe, wyprzedaże i kupony podarunkowe 

Jeśli nie żyjesz pod kamieniem, to oszustwo nie będzie dla ciebie nowością. Często otrzymujemy wiadomości i e-maile od firm zajmujących się handlem elektronicznym o najnowszych wyprzedażach i rabatach. Chociaż niektóre z nich są prawdziwe, większość z nich to oszustwa! Ważne jest, aby zachować ostrożność i szukać znaków ostrzegawczych, takich jak podejrzane linki i załączniki. Innymi sygnałami ostrzegawczymi mogą być źle napisane wiadomości, błędy gramatyczne i oferty, które mogą wydawać się zbyt piękne, aby mogły być prawdziwe! 

4. Problemy z dostarczaniem paczek 

W latach 2023-2024 nastąpił ogromny wzrost liczby oszustw związanych z dostarczaniem paczek. To oszustwo wygląda całkiem nieszkodliwie. Paczka dostarczona na Twoje nazwisko nie została dostarczona i jesteś informowany, aby odebrać ją ręcznie w lokalnym urzędzie pocztowym. Do wiadomości zwykle dołączony jest link zawierający więcej szczegółów na temat paczki. Prawda jest jednak taka, że nie ma żadnej paczki, a link może prowadzić do strony phishingowej w celu kradzieży danych uwierzytelniających lub rozpoczęcia pobierania złośliwego oprogramowania do systemu! 

5. Kłopoty z prawem przerażają

Stres i przymus często prowadzą do złej oceny sytuacji lub jej braku. Jest to motywacja stojąca za oszustwami polegającymi na podszywaniu się. Oszuści podszywający się pod organy ścigania oskarżają niewinne osoby o wejście w konflikt z prawem. Zdezorientowane ofiary robią wszystko, co mówią oszuści, aby uniknąć kłopotów i bronić się. 

FTC wprowadza nowe zasady dotyczące podszywania się pod rząd i firmy

W dniu W dniu 1 kwietnia 2024 r.FTC w końcu wprowadziła nową zasadę dotyczącą podszywania się pod rząd i firmy. Wprowadzono rygorystyczne działania mające na celu zapobieganie oszustwom związanym z podszywaniem się i zminimalizowanie strat finansowych ponoszonych przez konsumentów. Oto najważniejsze informacje w skrócie:

  1. FTC może podjąć kroki prawne przeciwko sprawcom, aby uzyskać zwrot pieniędzy skradzionych oszukanym konsumentom 
  2. FTC nieustannie stara się chronić i edukować konsumentów w zakresie różnych rodzajów oszustw związanych z podszywaniem się pod inne osoby, tak aby byli oni lepiej poinformowani i wyposażeni
  3. FTC przyjmuje również publiczne komentarze do 30 kwietnia na temat ich zasady regulacji handlu w sprawie podszywania się, aby uzyskać więcej informacji dla konsumentów

E-mail: Główne medium dla oszustw polegających na podszywaniu się pod inne osoby

FTC podkreśla, że poczta elektroniczna i wiadomości tekstowe są dwoma głównymi nośnikami oszustw związanych z podszywaniem się pod inne osoby po 2020 roku. Podczas gdy oszustwa telefoniczne były popularne wcześniej, ich częstotliwość stale spada, a liczba oszustw e-mailowych i SMS-owych rośnie!

Ale dlaczego atakujący wybierają pocztę elektroniczną? Poczta elektroniczna jest potężnym medium do cyberataków, ponieważ jest zbyt często używana w środowisku osobistym i zawodowym. Każdego dnia wysyłanych jest ponad 300 miliardów wiadomości e-mail, przy ponad 4 miliardach aktywnych użytkowników poczty elektronicznej na całym świecie! To sprawia, że poczta elektroniczna jest popularnym medium dla oszustów do weryfikacji potencjalnych ofiar. Inne czynniki, które sprawiają, że poczta e-mail jest popularnym wyborem to: 

  1. Brak świadomości na temat oszustw e-mailowych 
  2. Słabe praktyki w zakresie bezpieczeństwa poczty elektronicznej w organizacjach i agencjach rządowych 
  3. Brak obsługi zaawansowanych protokołów uwierzytelniania domeny 

Jak zapobiegać oszustwom polegającym na podszywaniu się pod inne osoby?

Istnieją dwa główne podejścia do zapobiegania podszywaniu się pod e-maile: ostrożność w stosunku do otrzymywanych wiadomości e-mail i utrudnianie oszustom podszywania się pod legalnych nadawców (dotyczy to bardziej organizacji).

Oto kilka wskazówek dla osób indywidualnych:

  • Zwracaj uwagę na czerwone flagi: Oszuści często stwarzają poczucie pilności lub presji, aby skłonić cię do szybkiego działania bez zastanowienia. Uważaj na wiadomości e-mail z błędami gramatycznymi, literówkami lub nieoczekiwanymi prośbami o pieniądze lub dane osobowe.
  • Weryfikuj adresy nadawców: Nie polegaj wyłącznie na nazwie nadawcy. Przyjrzyj się uważnie pełnemu adresowi e-mail. Oszuści mogą łatwo sfałszować nazwy nadawców, aby wyglądały na legalne.
  • Nie klikaj podejrzanych linków ani załączników: Najeżdżaj kursorem na linki przed kliknięciem, aby zobaczyć prawdziwy docelowy adres URL. Nigdy nie pobieraj załączników od nieznanych nadawców.
  • Uważaj na niechciane wiadomości e-mail: Jeśli otrzymasz wiadomość e-mail od kogoś, kogo nie znasz, zachowaj szczególną ostrożność. 

Wraz z gwałtownym wzrostem liczby oszustw związanych z podszywaniem się pod inne osoby, wdrożenie rozwiązań bezpieczeństwa poczty e-mail w chmurze stało się kluczowe. To kompleksowe podejście do zabezpieczania komunikacji e-mail odgrywa kluczową rolę w zapobieganiu oszustwom polegającym na podszywaniu się pod inne osoby, ochronie poufnych informacji i utrzymaniu integralności operacji biznesowych w obliczu rosnących zagrożeń cybernetycznych.

W przypadku organizacji istnieją dodatkowe środki techniczne, które można wdrożyć:

  • Uwierzytelnianie SPF: SPF pomaga zweryfikować, czy wiadomości e-mail podające się za pochodzące z domeny są wysyłane z autoryzowanych serwerów.
  • Uwierzytelnianie DKIM: DKIM pomaga zweryfikować, czy wiadomości e-mail nie zostały zmodyfikowane podczas transakcji i czy treść wiadomości pozostała nienaruszona.
  • DMARC: DMARC opiera się na SPF i/lub DKIM i pozwala określić, w jaki sposób odbiorcy wiadomości e-mail powinni obsługiwać nieuwierzytelnione wiadomości e-mail z Twojej domeny.
  • Edukacja pracowników: Przeszkol pracowników, aby byli świadomi oszustw związanych z podszywaniem się pod e-maile i wiedzieli, jak je wykrywać.

Podczas gdy protokoły techniczne mogą wymagać czasu, wysiłku i zasobów do skonfigurowania, a także wiedzy i doświadczenia - organizacje ułatwiają ten proces dzięki Analizator DMARC. Narzędzie to pomaga w łatwej konfiguracji, monitorowaniu i zarządzaniu uwierzytelnianiem poczty elektronicznej dla pojedynczej lub wielu domen. Co więcej, jest to szybsze, tańsze i bezpieczniejsze rozwiązanie do przejścia z polityki nieegzekwowania na politykę egzekwowania. W pewnym stopniu chroni to przed oszustwami związanymi z podszywaniem się pod adresy e-mail.

Słowa końcowe

FTC nieustannie stara się pomagać ofiarom oszustw związanych z podszywaniem się pod inne osoby i szerzyć świadomość zagrożeń cybernetycznych. Należy pamiętać, że Komisja nigdy nie będzie żądać pieniędzy, szantażować, używać siły ani oferować nagród. Dlatego jeśli otrzymasz wiadomość SMS, e-mail lub telefon od osoby podającej się za FTC i zachowującej się podejrzanie, uważaj! Możesz natychmiast skontaktować się z numerami infolinii FTC wymienionymi na ich oficjalnej stronie internetowej w celu uzyskania pomocy. 

Wreszcie, pamiętaj, aby zawsze głosić i praktykować bezpieczną komunikację cyfrową, być świadomym i inwestować w dobre narzędzia cyberbezpieczeństwa. Zapobieganie jest zawsze lepsze niż leczenie, a podjęcie właściwych kroków teraz może pomóc zaoszczędzić na kosztach naprawy w przyszłości!

Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
Prywatność danych w komunikacji e-mail: Zgodność, ryzyko i najlepsze praktykiclop ransomwareCzym jest Clop Ransomware?