- 낚시 공격은 이제 실시간 디지털 지갑 제공 기술을 사용하여 다중 인증 인증을 우회합니다.
- 일회성 암호는 더 이상 모바일 최적화 된 피싱 키트로 사기를 중단하기에 충분하지 않습니다.
- 통행료, 패키지 및 계정 통지와 같은 일일 경고를 사용하여 수백만 건의 손해가 발견되었습니다.
전문가들은 중국어가 강한 사이버 범죄 신디케이트를 홍보하는 고급 피싱의 물결이 1 년 이상 미국에서 1 억 1 천 5 백만 달러의 미국 지불 카드로 타협 할 수 있다고 경고했다.
Sacheens의 연구원들은 이러한 활동이 사회 공학, 실시간 정통 우회 및 스케일을 위해 설계된 피싱 인프라의 변화가 증가하고 있음을 보여주었습니다.
조사관은 이제 “Lao Wang”으로 알려진 이미지를 플랫폼의 주요 제작자로 식별했으며, 이는 모바일 기반 자격 증명을 촉진하는 것입니다.
모바일 계약을 통해 정체성 도난을 조정합니다
캠페인의 중심에서 피싱 연은 “dy-tangu”로 알려진 전보 채널을 통해 분포되어 침략자들 사이에서 빠른 견인력을 얻었습니다.
이 연은 Geofnsing, IP 블록 및 모바일 분열 타겟팅을 사용하여 연구원과 플랫폼에 의해 감지되지 않도록 설계되었습니다.
이 수준의 기술 제어를 통해 피싱 페이지는 트래픽 페이지를 적극적으로 제외하여 작업에 표시 할 수있는 대상에 도달 할 수 있습니다.
낚시 공격은 일반적으로 통행료 결제 경고 또는 패키지 배송 업데이트와 같은 일일 상황을 사용하여 중복 확인 페이지로 이동하는 SMS, IIMEZ 또는 RCS 메시지로 시작합니다.
여기에서 사용자는 민감한 개인 정보를 입력 한 다음 지불 카드 데이터를 입력해야합니다.
사이트는 종종 일회성 비밀번호 (OTP) 코드를 사용하여 모바일 최적화 된 장치와 통합하여 즉각적인 다중 인증 인증 바이 패스를 허용하는 데 유리합니다.
이 인증서는 공격자가 제어하는 디지털 지갑에 제공되므로 Card-Non-Exerted Transactions에 필요한 추가 확인 단계를 허용합니다.
연구원들은 이러한 디지털 지갑 남용을 카드 사기 시스템의 “기본”변경으로 묘사합니다.
물리적 터미널, 온라인 상점 및 ATM 없이는 물리적 카드가 필요하지 않고 무단 사용을 가능하게합니다.
연구원들은 이제 Smithing Promotion에서 벗어난 범죄 네트워크를 관찰했습니다.
가짜 전자 상거래 사이트와 실제 거래에 고용 된 비자발적 사용자로부터 자격 증명을 수집하는 데 사용되는 가짜 전자 상거래 사이트와 가짜 중개 플랫폼의 증거가 증가하고 있습니다.
이 작업에는 사전로드 된 장치, 가짜 판매자 계정 및 광고 공간이있는 광고 공간을 포함하여 Google 및 Meta와 같은 플랫폼이 포함됩니다.
카드 발급자와 은행은 이러한 개발 된 위협으로부터 보호 할 수있는 방법을 모색하기 때문에 표준 보안 소송, 방화벽 보호 및 SMS 필터는 SMS 필터와 관련된 정확성 대상으로 인해 제한된 지원을 제공 할 수 있습니다.
이러한 냄새 프로모션의 비밀 특성을 감안할 때, 영향을받는 카드에는 단일 공개 데이터베이스가 나열되어 있지 않습니다. 그러나 개인은 잠재적 노출을 평가하기 위해 다음 단계를 수행 할 수 있습니다.
- 최근 거래를 검토하십시오
- 예상치 못한 디지털 지갑 활동을 찾으십시오
- 시작하지 않은 확인 또는 OTP 요청 모니터
- 알림 서비스에 데이터 위반이 있는지 확인하십시오.
- 트랜잭션 경보를 활성화합니다
불행히도, 수백만 명의 사용자가 자신의 데이터가 전통적인 위반이 아니라 대규모 신분 도용 및 금융 사기에 사용되었음을 알 수 없을 수 있습니다.
정보를 통해 –
