Phishing-Betrug der sozialen Sicherheit
Eine Phishing-Kampagne, die auf die Sozialversicherungsnummern (SSNs) von Benutzern abzielt, wurde von Cybersicherheitsexperten aufgedeckt. Die Anfangsphase der Betrugskampagne besteht aus der Verbreitung von Lock-E-Mails, die so dargestellt werden, als würden sie von der US-amerikanischen Sozialversicherungsbehörde gesendet. Der echte Absender ist jedoch nur eine zufällige Gmail-Adresse. Details zu den Phishing-Operationen wurden in einem Bericht der Forscher des E-Mail-Sicherheitsunternehmens INKY enthüllt.
Ihren Erkenntnissen zufolge versuchen die Lock-E-Mails der Phishing-Kampagne bereits in der Betreffzeile, ein Gefühl der Dringlichkeit zu erzeugen. Sie enthalten oft die E-Mail-Adresse des Benutzers, die Fall-ID oder eine Aktennummer, um zu versuchen, als offizielle Mitteilung über ein ernstes Problem zu erscheinen. Die Betreffzeilen der E-Mails können darauf hindeuten, dass die SSN des Benutzers mit verdächtigen Aktivitäten in Verbindung gebracht wurde oder dass sie bald verworfen, eingestellt, ausgesetzt usw. wird.
Die E-Mails enthalten auch eine angehängte PDF-Datei. Die Datei ist nicht bösartig, fügt aber eine weitere vermeintliche Legitimitätsebene hinzu. Beim Öffnen des Dokuments werden das Logo der Social Security Administration und eine bestimmte Fallnummer deutlich sichtbar angezeigt. Der Text und das Szenario in der PDF-Datei können variieren, aber es wird die ahnungslosen Empfänger immer ermutigen, eine angegebene Telefonnummer zu kontaktieren, die als zur Agentur gehörend beschrieben wird.
Stattdessen kontaktieren die Benutzer entweder die Betrüger oder einen für sie arbeitenden Operator. Die Hinzufügung dieser als Vishing (Voice Phishing) bekannten Methode könnte die Zahl der Personen, die auf den Betrug hereinfallen, drastisch erhöhen. Sobald sie in der Leitung sind, könnten Benutzer aufgefordert werden, sensible persönliche Daten über verschiedene Social-Engineering-Taktiken anzugeben. Opfer könnten aufgefordert werden, ihre Sozialversicherungsnummer zu verifizieren sowie ihr Geburtsdatum und ihren Namen den Telefonisten mitzuteilen. Benutzer könnten aufgefordert werden, ihre Bankdaten anzugeben oder eine gefälschte Gebühr in Form von Geschenkkarten oder einer bestimmten Kryptowährung zu zahlen.