Numărul dvs. de telefon nu este doar un simplu mijloc de contact – escrocii îl pot folosi pentru a vă trimite mesaje periculoase și chiar pentru a accesa contul dvs. bancar sau a fura informații sensibile de companie.

Anterior, am analizat modul în care escrocii pot avea acces la numărul dvs. de telefon și cum scurgerile de date și campaniile de phishing ar putea facilita obținerea lui. În acest articol, ne vom concentra mai mult pe motivul pentru care numerele de telefon sunt ținte atât de valoroase și vom discuta despre riscurile asociate compromiterii lor.

Industria $cam

Infractorii cibernetici continuă să obțină profituri uimitoare dintr-o varietate de scheme frauduloase. În ultimii ani, multe astfel de scheme au fost orchestrate de sindicate criminale care administrează rețele de fraudă în Asia de Sud-Est, unde victimele sunt constrânse să execute trucuri elaborate, cum ar fi „pig butchering”, cunoscută și sub numele de „romance scam”.

În afară de construirea unor relații online false, tacticile multor infractori online implică scenarii care cer acțiuni urgente sau se bazează pe alte trucuri, inclusiv pretinse preluări PayPal sau de cont bancar, dispozitive compromise cu programe malware, livrări de colete eșuate și chiar rude răpite ori alte scheme care folosesc inteligența artificială (AI).

În centrul multor scheme de fraudă online se află phishingul și alte atacuri de inginerie socială. Succesul lor este dat, în mare parte, de scheme tip recompensă mică/recompensă mare, scalabilitate, capacitatea de a exploata slăbiciunile umane, precum și de dificultăți în aplicarea legii transfrontaliere. În plus, e de ajuns să fie prins un singur infractor, ca să merite întreaga operațiune.

Dă-mi niște numere

Să analizăm problema numerelor de telefon. De ce acestea, împreună cu datele de conectare la cont, sunt atât de valoroase pentru infractori și cum pot fi utilizate în scopuri rău intenționate?

Smishing și hacking

Pentru început, actorii amenințărilor v-ar putea trimite malware deghizat în link-uri benigne sau fișiere atașate care vor instala spyware sau alte programe periculoase pe dispozitivul dvs. ori vor sustrage de aici date personale. Totodată, vă pot trimite către site-uri de phishing unde vi se solicită date de conectare sau alte informații personale.

Figura 1. Exemplu de mesaj smishing care păcălește utilizatorii să cedeze datele de conectare PayPal (citiți mai multe aici/sursa imaginii: BleepingComputer)

De exemplu, ESET Threat Report H1 2024 a adus în atenție proliferarea programelor malware GoldPickaxe care, în versiunea sa iOS, utilizează o schemă de inginerie socială ce convinge victimele să instaleze un profil de Mobile Device Management, oferind atacatorilor control complet asupra telefonului.

Redirecționarea apelurilor, SIM swap și falsificarea ID-ului apelantului

În pofida intensificării comunicării digitale, apelurile telefonice și mesajele text rămân o metodă de încredere pentru schimbul de informații confidențiale.

• În schemele de redirecționare a apelurilor, escrocii vă contactează pe dvs. sau pe furnizorul dvs. de servicii și, în cele din urmă, redirecționează apeluri de la numărul dvs. către un altul, aflat sub controlul lor. Cât furnizorul solicită verificări, escrocul are deja acces la mai multe informații personale (din scurgeri de date sau surse publice), astfel că această înșelătorie este foarte ușor de realizat.
• În mod similar, fraudatorii care recurg la SIM swap pot păcăli operatorul de telefonie mobilă ca să-și activeze cartela SIM sub numele/ numărul dvs. vechi, portând efectiv numărul dvs. pe cartela lor SIM. Această înșelătorie este „mai supărătoare” decât redirecționarea apelurilor, întrucât pierdeți accesul la rețeaua de telefonie. Deși implică și unele cercetări asupra vieții victimei, necesare în procesul de verificare, escrocheria de tip SIM swap reprezintă o amenințare serioasă ani de zile.
• Escrocii pot falsifica ID-ul apelantului prin însușirea identității numărului dvs., folosind Voice over Internet Protocol (VoIP) sau alte servicii de falsificare, dar și prin alte metode. Drept urmare, atacatorii și-ar putea camufla identitatea (și pretinde că sunteți dvs. sau contactul dvs. de încredere) în timp ce comit escrocherii financiare și alte infracțiuni.
  
  

Figura 2. Un alt exemplu de tentativă de smishing (aflați mai multe aici)

De ce sunt toate aceste escrocherii o amenințare atât de mare? În zilele noastre, multe servicii online se bazează pe numere de telefon pentru autentificare și recuperarea contului. Prin urmare, compromiterea unui număr de telefon poate echivala cu pierderea garanțiilor de securitate, inclusiv autentificarea cu doi factori (2FA). În plus, escrocii vă pot uzurpa identitatea pentru a vă înșela contactele sau angajatorul.

Phishing pentru date de companie

Astăzi, mulți angajați folosesc telefoanele personale sau ale companiei pentru a-și verifica e-mailurile sau mesajele corporate. Acestea devin un vector important pentru atacuri, deoarece computerele nu mai sunt singurele puncte de acces. Escrocii ar putea uzurpa identitatea directorilor sau a departamentelor de contabilitate pentru a solicita transferuri de bani în scopuri „de business”.

Într-adevăr, scopul final pentru mulți infractori este să obțină acces la sistemele și fondurile companiilor. Factorul uman joacă și el un rol crucial în aceste scheme. Adesea, nu verificăm legitimitatea solicitărilor înainte de a le îndeplini, ceea ce duce la succesul atacurilor de tip phishing și, în cele din urmă, generează daune financiare substanțiale pentru companii.

Frauda cu CEO

De exemplu, imaginați-vă că sunteți contabil la o mare companie financiară. Lucrați în Excel când primiți un apel telefonic, aparent de la șeful dvs., care vă cere să realizați o tranzacție rapidă. Astfel de escrocherii sunt destul de reale. Deoarece apelul pare să vină de pe numărul șefului dvs., este posibil să nu îi puneți la îndoială legitimitatea – și nu ați fi singurul.

Se înmulțesc știrile cu mențiuni despre această „fraudă CEO”, sora mai mică a fraudei de atacare a e-mailurilor de afaceri (BEC). Astăzi, astfel de escrocherii sunt supraalimentate de AI, actorii amenințărilor folosind clonarea vocii pentru a uzurpa mai bine identitatea cuiva (în cazul în care falsificarea ID-ului apelantului nu a fost suficientă). Deci, ce să faceți în vremuri atât de periculoase?

Întărirea plasei de siguranță

Din fericire, există câteva modalități prin care indivizi și companii se pot fi păzi de escrocheriile prin telefon:

• Validare înainte de toate: nu răspundeți niciodată sau nu interacționați cu apelanți/ expeditori necunoscuți și, ori de câte ori vi se solicită date personale de la o entitate „de încredere”, dați mai întâi un telefon și întrebați dacă solicitarea este reală.
• Luați legătura cu furnizorul dvs. de servicii: pentru a preveni redirecționarea sau SIM swap-ul, cereți furnizorului dvs. de servicii să vă securizeze contul împotriva modificărilor nesolicitate cu factori de securitate suplimentari, cum ar fi blocarea SIM, pentru a preveni swap-ul, sau verificări mai amănunțite.
• Țineți cont de ceea ce distribuiți online: pentru a preveni culegerea de date personale, țineți cont de ce anume distribuiți despre dvs. online. Uzurparea identității are succes pentru că atacatorii se prezintă drept cineva cunoscut, așa că încercați să vă limitați expunerea publică.
• Uitați de mesajele text: pentru a preveni frauda, protejați-vă conturile cu 2FA din aplicație și nu prin SMS, care poate fi interceptat cu ușurință și le permite escrocilor să vă compromită conturile foarte ușor.
• Folosiți soluții de securitate pentru mobil: phishing-ul, fie prin mesaje, fie prin apeluri, poate fi detectat de un software puternic de securitate pe mobil. Pentru companii, apărarea împotriva amenințărilor mobile și autentificarea sigură pot ajuta la depășirea acestor amenințări.

În concluzie, un număr de telefon poate constitui o breșă pentru atacatori, care pot compromite afaceri la scară largă și produce pagube de milioane. Acesta ar trebui să fie cât mai privat posibil, la fel ca orice alt identificator unic, până la urmă.

Pe măsură ce phishing-ul rămâne o amenințare majoră, fiți vigilenți și nu uitați: validarea și autentificarea sunt cheia securității dvs.!