FTC donosi, że poczta elektroniczna jest popularnym medium dla oszustw polegających na podszywaniu się pod inne osoby

W ciągu ostatniej dekady liczba ataków polegających na podszywaniu się pod inne osoby rosła, a na linii ognia znaleźli się uznani giganci korporacyjni i agencje rządowe. The Federalna Komisja Handlu(Consumer Sentinel Network) stale zwraca uwagę na tysiące zgłaszanych jej oszustw polegających na podszywaniu się pod te firmy i organy rządowe.

Problem z tymi atakami polega na tym, że wykorzystują one ludzką psychologię, co czyni je bardzo trudnymi do wykrycia i powstrzymania. Co więcej, oszuści stają się coraz bardziej zaawansowani technologicznie w swoich technikach podszywania się. Ostatecznie zwiększa to wskaźnik skuteczności oszustw. 

Słabe praktyki bezpieczeństwa w organizacjach i brak świadomości wśród pracowników to częste powody, które przyczyniają się do udanych oszustw związanych z podszywaniem się. Do tego stopnia, że tylko w 2023 roku FTC zgłasza 330 000 przypadków oszustw związanych z podszywaniem się pod firmy i 160 000 przypadków oszustw związanych z podszywaniem się pod rząd! W ich Consumer Protection Data Spotlight, FTC ujawniła, że całkowity koszt związany z tymi atakami w ubiegłym roku przekroczył 1 miliard dolarów.

Czym są oszustwa polegające na podszywaniu się? 

Oszustwa polegające na podszywaniu się to cyberzagrożenia, w których atakujący podszywa się pod organizację, instytucję lub osobę fizyczną, aby nakłonić ofiary do ujawnienia poufnych informacji. Oszustwa związane z podszywaniem się są zazwyczaj motywowane finansowo lub w celu uzyskania dostępu do wewnętrznych systemów i informacji organizacji. 

Kto jest celem ataku?

W rzeczywistości każdy może zostać podszyty online. Jednak mając na uwadze motyw opłacalności, cyberprzestępcy zazwyczaj podszywają się pod następujące popularne cele w oszustwach: 

1. Znane firmy prywatne 
2. Agencje rządowe
3. Banki i instytucje finansowe 
4. Uczelnie, uniwersytety i inne instytucje edukacyjne 
5. Kadra kierownicza wysokiego szczebla (CEO, CTO, CFO)
6. Przyjaciele i rodzina 

Jakie metody są stosowane?  

Do przeprowadzania oszustw polegających na podszywaniu się atakujący mogą wykorzystywać następujące metody: 

1. Email phishing: Wiadomości ph ishingowe są zwykle wysyłane z fałszywych lub podrobionych nazw domen, podszywając się pod prawdziwe organizacje w celu oszukania ich obecnych lub potencjalnych klientów.

2. Vishing/Smishing: Podobny do phishingu, ale przeprowadzany za pośrednictwem połączeń telefonicznych lub SMS-ów, atakujący podszywają się pod legalne źródła w celu wydobycia poufnych informacji.

3. Media społecznościowe: Podszywanie się pod inne osoby jest bardzo powszechne w mediach społecznościowych, gdzie oszuści tworzą fałszywe profile istniejących użytkowników w celu rozpowszechniania dezinformacji lub oszukiwania znajomych i rodziny. Przejęcie konta to kolejny sposób, w jaki można popełniać oszustwa związane z podszywaniem się pod media społecznościowe.

Jakie są cele? 

Ostatecznym celem oszustw polegających na podszywaniu się jest: 

1. Kradzież poufnych informacji, takich jak dane logowania, hasła do kont, dane kart kredytowych i debetowych itp. 
2. Kradzież lub przelewanie pieniędzy od ofiar i organizacji 
3. Manipulowanie ofiarami w celu pobrania oprogramowania ransomware i złośliwego oprogramowania do ich systemów.
4. Kradzież tożsamości 

5 największych oszustw związanych z podszywaniem się zgłoszonych przez konsumentów do FTC w 2023 r. 

FTC w swoim raporcie Data Spotlight wymieniła następujące oszustwa, które były najczęściej zgłaszane przez konsumentów w 2023 roku: 

1. Fałszywe alerty bezpieczeństwa konta 

Załóżmy, że otrzymałeś wiadomość od swojego banku z informacją, że przelałeś kwotę X, z prośbą o potwierdzenie, czy dokonałeś tej transakcji. Jest to dość standardowa wiadomość wysyłana przez banki podczas dokonywania transakcji w celach bezpieczeństwa. Tyle tylko, że wiadomość nie pochodzi z banku. Tym razem pochodzi od atakującego podszywającego się pod Twój bank, aby nakłonić Cię do przelania środków. 

2. Fałszywe powiadomienia o odnowieniu konta

Miałeś konto Netflix, którego nie odnawiałeś od jakiegoś czasu i nagle otrzymujesz powiadomienie od Netflix informujące, że dokonują automatycznego odnowienia, które potrąci pieniądze z twojego konta. Jest to zaskakujące i natychmiast zachęca do podjęcia działań. To fałszywe powiadomienie od oszusta podszywającego się pod Netflix jest inspirowane podobnymi oszustwami zgłaszanymi przez konsumentów do FTC. 

3. Niesamowite oferty rabatowe, wyprzedaże i kupony podarunkowe 

Jeśli nie żyjesz pod kamieniem, to oszustwo nie będzie dla ciebie nowością. Często otrzymujemy wiadomości i e-maile od firm zajmujących się handlem elektronicznym o najnowszych wyprzedażach i rabatach. Chociaż niektóre z nich są prawdziwe, większość z nich to oszustwa! Ważne jest, aby zachować ostrożność i szukać znaków ostrzegawczych, takich jak podejrzane linki i załączniki. Innymi sygnałami ostrzegawczymi mogą być źle napisane wiadomości, błędy gramatyczne i oferty, które mogą wydawać się zbyt piękne, aby mogły być prawdziwe! 

4. Problemy z dostarczaniem paczek 

W latach 2023-2024 nastąpił ogromny wzrost liczby oszustw związanych z dostarczaniem paczek. To oszustwo wygląda całkiem nieszkodliwie. Paczka dostarczona na Twoje nazwisko nie została dostarczona i jesteś informowany, aby odebrać ją ręcznie w lokalnym urzędzie pocztowym. Do wiadomości zwykle dołączony jest link zawierający więcej szczegółów na temat paczki. Prawda jest jednak taka, że nie ma żadnej paczki, a link może prowadzić do strony phishingowej w celu kradzieży danych uwierzytelniających lub rozpoczęcia pobierania złośliwego oprogramowania do systemu! 

5. Kłopoty z prawem przerażają

Stres i przymus często prowadzą do złej oceny sytuacji lub jej braku. Jest to motywacja stojąca za oszustwami polegającymi na podszywaniu się. Oszuści podszywający się pod organy ścigania oskarżają niewinne osoby o wejście w konflikt z prawem. Zdezorientowane ofiary robią wszystko, co mówią oszuści, aby uniknąć kłopotów i bronić się. 

FTC wprowadza nowe zasady dotyczące podszywania się pod rząd i firmy

W dniu W dniu 1 kwietnia 2024 r.FTC w końcu wprowadziła nową zasadę dotyczącą podszywania się pod rząd i firmy. Wprowadzono rygorystyczne działania mające na celu zapobieganie oszustwom związanym z podszywaniem się i zminimalizowanie strat finansowych ponoszonych przez konsumentów. Oto najważniejsze informacje w skrócie:

1. FTC może podjąć kroki prawne przeciwko sprawcom, aby uzyskać zwrot pieniędzy skradzionych oszukanym konsumentom 
2. FTC nieustannie stara się chronić i edukować konsumentów w zakresie różnych rodzajów oszustw związanych z podszywaniem się pod inne osoby, tak aby byli oni lepiej poinformowani i wyposażeni
3. FTC przyjmuje również publiczne komentarze do 30 kwietnia na temat ich zasady regulacji handlu w sprawie podszywania się, aby uzyskać więcej informacji dla konsumentów

E-mail: Główne medium dla oszustw polegających na podszywaniu się pod inne osoby

FTC podkreśla, że poczta elektroniczna i wiadomości tekstowe są dwoma głównymi nośnikami oszustw związanych z podszywaniem się pod inne osoby po 2020 roku. Podczas gdy oszustwa telefoniczne były popularne wcześniej, ich częstotliwość stale spada, a liczba oszustw e-mailowych i SMS-owych rośnie!

Ale dlaczego atakujący wybierają pocztę elektroniczną? Poczta elektroniczna jest potężnym medium do cyberataków, ponieważ jest zbyt często używana w środowisku osobistym i zawodowym. Każdego dnia wysyłanych jest ponad 300 miliardów wiadomości e-mail, przy ponad 4 miliardach aktywnych użytkowników poczty elektronicznej na całym świecie! To sprawia, że poczta elektroniczna jest popularnym medium dla oszustów do weryfikacji potencjalnych ofiar. Inne czynniki, które sprawiają, że poczta e-mail jest popularnym wyborem to: 

1. Brak świadomości na temat oszustw e-mailowych 
2. Słabe praktyki w zakresie bezpieczeństwa poczty elektronicznej w organizacjach i agencjach rządowych 
3. Brak obsługi zaawansowanych protokołów uwierzytelniania domeny 

Jak zapobiegać oszustwom polegającym na podszywaniu się pod inne osoby?

Istnieją dwa główne podejścia do zapobiegania podszywaniu się pod e-maile: ostrożność w stosunku do otrzymywanych wiadomości e-mail i utrudnianie oszustom podszywania się pod legalnych nadawców (dotyczy to bardziej organizacji).

Oto kilka wskazówek dla osób indywidualnych:

• Zwracaj uwagę na czerwone flagi: Oszuści często stwarzają poczucie pilności lub presji, aby skłonić cię do szybkiego działania bez zastanowienia. Uważaj na wiadomości e-mail z błędami gramatycznymi, literówkami lub nieoczekiwanymi prośbami o pieniądze lub dane osobowe.
• Weryfikuj adresy nadawców: Nie polegaj wyłącznie na nazwie nadawcy. Przyjrzyj się uważnie pełnemu adresowi e-mail. Oszuści mogą łatwo sfałszować nazwy nadawców, aby wyglądały na legalne.
• Nie klikaj podejrzanych linków ani załączników: Najeżdżaj kursorem na linki przed kliknięciem, aby zobaczyć prawdziwy docelowy adres URL. Nigdy nie pobieraj załączników od nieznanych nadawców.
• Uważaj na niechciane wiadomości e-mail: Jeśli otrzymasz wiadomość e-mail od kogoś, kogo nie znasz, zachowaj szczególną ostrożność. 

Wraz z gwałtownym wzrostem liczby oszustw związanych z podszywaniem się pod inne osoby, wdrożenie rozwiązań bezpieczeństwa poczty e-mail w chmurze stało się kluczowe. To kompleksowe podejście do zabezpieczania komunikacji e-mail odgrywa kluczową rolę w zapobieganiu oszustwom polegającym na podszywaniu się pod inne osoby, ochronie poufnych informacji i utrzymaniu integralności operacji biznesowych w obliczu rosnących zagrożeń cybernetycznych.

W przypadku organizacji istnieją dodatkowe środki techniczne, które można wdrożyć:

• Uwierzytelnianie SPF: SPF pomaga zweryfikować, czy wiadomości e-mail podające się za pochodzące z domeny są wysyłane z autoryzowanych serwerów.
• Uwierzytelnianie DKIM: DKIM pomaga zweryfikować, czy wiadomości e-mail nie zostały zmodyfikowane podczas transakcji i czy treść wiadomości pozostała nienaruszona.
• DMARC: DMARC opiera się na SPF i/lub DKIM i pozwala określić, w jaki sposób odbiorcy wiadomości e-mail powinni obsługiwać nieuwierzytelnione wiadomości e-mail z Twojej domeny.
• Edukacja pracowników: Przeszkol pracowników, aby byli świadomi oszustw związanych z podszywaniem się pod e-maile i wiedzieli, jak je wykrywać.

Podczas gdy protokoły techniczne mogą wymagać czasu, wysiłku i zasobów do skonfigurowania, a także wiedzy i doświadczenia - organizacje ułatwiają ten proces dzięki Analizator DMARC. Narzędzie to pomaga w łatwej konfiguracji, monitorowaniu i zarządzaniu uwierzytelnianiem poczty elektronicznej dla pojedynczej lub wielu domen. Co więcej, jest to szybsze, tańsze i bezpieczniejsze rozwiązanie do przejścia z polityki nieegzekwowania na politykę egzekwowania. W pewnym stopniu chroni to przed oszustwami związanymi z podszywaniem się pod adresy e-mail.

Słowa końcowe

FTC nieustannie stara się pomagać ofiarom oszustw związanych z podszywaniem się pod inne osoby i szerzyć świadomość zagrożeń cybernetycznych. Należy pamiętać, że Komisja nigdy nie będzie żądać pieniędzy, szantażować, używać siły ani oferować nagród. Dlatego jeśli otrzymasz wiadomość SMS, e-mail lub telefon od osoby podającej się za FTC i zachowującej się podejrzanie, uważaj! Możesz natychmiast skontaktować się z numerami infolinii FTC wymienionymi na ich oficjalnej stronie internetowej w celu uzyskania pomocy. 

Wreszcie, pamiętaj, aby zawsze głosić i praktykować bezpieczną komunikację cyfrową, być świadomym i inwestować w dobre narzędzia cyberbezpieczeństwa. Zapobieganie jest zawsze lepsze niż leczenie, a podjęcie właściwych kroków teraz może pomóc zaoszczędzić na kosztach naprawy w przyszłości!

• O
• Latest Posts

Yunes Tarada

Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.

Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)

• Jak skonfigurować DMARC w Office 365? Przewodnik krok po kroku - 6 maja 2024 r.
• Wyjaśnienie kodów błędów SMTP Yahoo - 1 maja 2024 r.
• SPF Softfail vs Hardfail: Jaka jest różnica? - 26 kwietnia 2024 r.