October 08, 2018

​​Телефонный фишинг — скам, при котором мошенники выведывают персональные данные жертвы по телефону, представляясь кем-то, кому обычно доверяют — например, сотрудником банка или страховой компании. Они используют сервисные номера и с помощью социального инжиниринга узнают пин-код, номер карты, CVV, секретное слово — всё что надо, чтобы получить доступ к счёту жертвы.

Исследователь кибербезопасности Брайан Кребс опубликовал на своём сайте сценарии таких звонков. Профессионализм американских специалистов по фишингу поражает.

Они используют сервисные номера (в США начинаются с 1-800), с которых обычно звонят представители компаний. Реальный номер телефона можно подменить (это называется спуфинг) — жертва будет видеть на телефоне входящий с реального номера своего банка.

Чтобы убедить человека, что ему звонят из банка, мошенники называют его персональные данные — дату рождения, номер страховки, адрес. Эти данные можно недорого купить на форумах кардеров.

Мошенники ищут в соцсетях посты людей, которые недавно пострадали от банковского фрода, звонят им от имени службы безопасности банка, предлагают перевыпустить карту и в процессе "перевыпуска" спрашивают PIN и CVV-коды действующей карты.

Используя полученные данные, мошенники создают поддельные кредитные карты. Средства с них выводят через покупки и снятие налички в разных штатах.

Для обзвона потенциальных жертв используют автоматизированные системы дозвона. Когда диалог идёт не по сценарию, к разговору может подключиться живой оператор.

Вывод простой: нельзя никому верить, а если вам вдруг звонят из банка со странными вопросами, лучше перезвоните сами — по номеру, указанному на вашей кредитке.

Ранее писал про забавные антифишинговые проекты:

Нейросеть, которая переписывается со спамерами

Скрипт для телефонного DDOS мошенников

Скрипт для троллинга надоедливых телемаркетеров