Golpistas estão falsificando números de telefone de bancos para roubar vítimas

O uso de spoofing para assumir caracteristicas mais convincentes para a vítima aliado a falsificação de emails e outros métodos que fazem a vítima realmente achar que está em contato com o banco.

Pode ser um truque muito convincente …

“Você pode verificar o número em seu display on-line, senhor. Você verá que estou realmente ligando do seu banco. ”

Isso, é claro, se você não souber que os números de telefone podem ser falsificados. Então, novamente, eles não seriam golpistas de sucesso se não fossem convincentes. Se você sugerir que você ligue de volta, eles dirão que é impossível ligar para o ramal diretamente e você terá que passar pela operadora na sede. O que pode demorar um pouco e por causa da urgência que não é realmente uma opção agora, é?

O que é spoofing?

A definição de spoofing é: apresentar características que não lhe pertencem, de forma a assumir uma falsa identidade. Já falamos sobre falsificação de email no passado, mas, neste caso, estamos falando sobre falsificação de identificador de chamadas. A falsificação do identificador de chamadas ocorre quando alguém, ao ligar para o seu telefone, falsifica deliberadamente as informações transmitidas ao visor do identificador de chamadas para disfarçar sua identidade.

Normalmente, o display indica o número do telefone e o nome associados à linha usada para ligar para você. Mas existem serviços que permitem que você exiba qualquer identificador de chamadas falsificado. Alguns provedores de Voz sobre IP (VoIP) simplesmente permitem que o usuário configure seu número exibido como parte da página de configuração na interface da web do provedor.

Como esse golpe funciona?

O scammer liga para a vítima enquanto falsifica um número de telefone que pertence ao banco. E o golpista vem preparado com conhecimento suficiente sobre a conta bancária da vítima para tirar os últimos resquícios de dúvida. Eles dizem à vítima que notaram uma atividade incomum em sua conta bancária e aconselham-na urgentemente a colocar seu dinheiro em uma conta diferente.

Se a vítima indicar que possui apenas uma conta, o golpista oferece a ela uma chamada “conta vault” do banco. O golpista explica que essa conta é um lugar seguro para seus fundos. O dinheiro deles pode ficar indisponível em tal conta por alguns dias, mas isso é melhor do que ser roubado às cegas, não é? Se a vítima começar a fazer muitas perguntas, o golpista dirá que não há tempo a perder por causa do perigo de perder tudo para uma entidade desconhecida. Claro, a “conta do cofre” pertence ao golpista e todo o teatro é projetado para fazer com que a vítima transfira seus pertences para essa conta.

Informações extras de phishing

O que torna esse sucesso extra é que os golpistas realmente vêm preparados para a ligação. Eles podem informar quanto você tem em sua conta e quem recebeu seus últimos pagamentos. Existem algumas teorias sobre como os golpistas podem obter essas informações. Alguns chegam a afirmar que devem ter alguém de dentro. Isso explicaria muita coisa, mas algumas vítimas admitiram ter recebido um e- mail de phishing não muito antes da ligação.

Se as vítimas clicaram no link desse e-mail e se conectaram ao site do banco falso do phisher, isso não apenas explica como os golpistas obtiveram as informações, mas também adiciona credibilidade à história do golpista ao telefone. Afinal, a tentativa de phishing pode ter resultado em acesso não autorizado. O que dá ao cenário “interno” alguma credibilidade extra é o fato de que algumas vítimas recentemente aumentaram seus limites de transação porque precisavam fazer alguns pagamentos elevados.

Os sites de phishing espelham o site do banco, e o phisher pode seguir a entrada da vítima no site do banco real. Isso permite que eles vejam os detalhes da conta depois de fazer o login e os equipa com as informações que podem usar durante a chamada telefônica.

Medidas de segurança bancária

Se as informações que o golpista possui sobre a conta da vítima derivam de uma tentativa de phishing e o banco usa um método de login 2FA, as informações de login ficarão obsoletas rapidamente. Um phishing bem-sucedido permite que o golpista faça login, mas geralmente apenas uma vez. Eles podem olhar ao redor e reunir informações para preparar a ligação. Qualquer ação subsequente, como fazer um pagamento ou alterar as configurações de 2FA, teria que ser autorizada separadamente, e tal solicitação provavelmente faria a vítima suspeitar.

O que os investigadores de um programa de televisão holandês para consumidores descobriram é que alguns bancos são mais propensos do que outros a serem alvos. Os investigadores suspeitam que clientes de bancos que usam um leitor de cartão para ler códigos QR para autorizar logins e pagamentos são menos vulneráveis ​​do que aqueles que enviam mensagens de texto. Isso pode ocorrer porque é mais difícil imitar os códigos QR no site de phishing do banco do que criar um campo de entrada para o código de verificação.

Outro fail-safe que o scammer tentará contornar, se necessário, são os limites de transação que estão em vigor por padrão para alguns bancos. Muitas vezes, são limitados a quantias bastante pequenas e os clientes terão que aumentar o limite se quiserem fazer pagamentos maiores. Quando o banco pede que você aumente esse limite em vez do contrário, deve haver uma bandeira vermelha. Lembre-se de que eles podem fazer isso por você em caso de uma emergência real.

O resultado de um ataque de spoofing

Os golpistas tentarão e certificar-se de que a vítima não perceba imediatamente que eles foram enganados, então os golpistas podem fazer o dinheiro desaparecer da conta de destino para impedir que os pagamentos sejam revertidos.

Com alguns bancos, você terá seguro contra fraudes bancárias, mas outros bancos dirão que a própria vítima transferiu os fundos e não aceitará nenhuma responsabilidade pela perda. Na maioria dos países, você está protegido por lei contra pagamentos fraudulentos sob certas condições. Uma dessas condições geralmente pode ser descrita como “o cliente não deve ser descuidado”, e um cliente pode ser visto como descuidado se fornecer suas credenciais de login. Se inserir essas credenciais em um site de phishing de banco que se parece exatamente com o que pertence ao banco é um ato descuidado, parece que está em debate.

Portanto, na pior das hipóteses, você não apenas se sentiria envergonhado por ter caído no golpe, mas também poderia ser rotulado de descuidado e perder o dinheiro de sua conta.

O futuro do spoofing de identificador de chamadas

A falsificação de identificador de chamadas tem causado problemas desde 2004, quando um serviço foi aberto para permitir que chamadas falsificadas fossem feitas de uma interface da web. Em 2018, mencionamos um método de falsificação de identificador de chamadas chamado “falsificação de vizinho”. A falsificação de vizinhos era um método popular entre os chamadores não solicitados, usando o mesmo código de área e prefixo de telefone da pessoa sendo chamada. A falsificação do identificador de chamadas é geralmente legal nos Estados Unidos, a menos que seja feita “com a intenção de fraudar, causar danos ou obter indevidamente qualquer coisa de valor”. Em 2019 , foi assinada a Lei TRACED , a primeira lei federal destinada a coibir ligações automáticas indesejadas .

SEC. 7. PROTEÇÕES CONTRA CHAMADAS SPOOFED.

EM GERAL. – O mais tardar 1 ano após a data da promulgação desta Lei, e consistente com as estruturas de autenticação de chamadas na seção 4, a missão da Com15 deve iniciar uma regulamentação para ajudar a proteger um assinante de receber chamadas indesejadas ou mensagens de texto de um chamador usando um número não autenticado.

Agitado, não abalado

Uma ferramenta útil na configuração dessa proteção é a estrutura STIR / SHAKEN, que é uma medida de autenticação e verificação de ID do chamador. STIR e SHAKEN são acrônimos para os padrões Secure Telephone Identity Revisited (STIR) e Signature-Based Handling of Asserted Information Using toKENs (SHAKEN). O STIR / SHAKEN valida digitalmente o handoff das ligações que passam pela complexa teia de redes, permitindo que a operadora do consumidor que recebe a ligação verifique se a ligação é de fato a partir do número exibido no identificador de chamadas. A Federal Communications Commission (FCC) está liderando o esforço para a adoção desses padrões pela indústria para ajudar os consumidores o mais rápido possível.

Se e quando outros países decidirem fazer mais do que apenas tornar ilegal a falsificação de identificador de chamadas, de preferência implementando e aderindo à estrutura STIR / SHAKEN, isso tornará os consumidores em todo o mundo um pouco mais seguros e tornará o golpe que discutimos muito mais difícil de retirar.

Enquanto isso, fiquem a salvo de todos!

Fonte: https://blog.malwarebytes.com/social-engineering/2020/10/scammers-are-spoofing-bank-phone-numbers-to-rob-victims/