Stemmesvindel-site "iSpoof" beslaglagt, 100-tallere anholdt i massiv undertrykkelse

I disse dage har de fleste af os telefoner, der viser det nummer, der ringer, før vi svarer.

Denne "funktion" går faktisk helt tilbage til 1960'erne, og den er kendt på nordamerikansk engelsk som Caller ID, selvom den faktisk ikke identificerer den, der ringer, kun den, der ringer op.

Andre steder i den engelsktalende verden kan du se navnet CLI bruges i stedet, forkortelse for Opkaldsnummer, som ved første øjekast ser ud til at være et bedre og mere præcist udtryk.

Men her er sagen: om du kalder det Caller ID or CLI, det nytter ikke mere til at identificere opkalderens faktiske telefonnummer end From: overskrift i en e-mail er at identificere afsenderen af ​​en e-mail.

Vis, hvad du kan lide

Løst sagt kan en svindler, der ved, hvad de laver, narre din telefon til at vise næsten ethvert nummer, de kan lide, som kilden til deres opkald.

Lad os tænke igennem, hvad det betyder.

Hvis du får et indgående opkald fra et nummer, du ikke genkender, er det næsten helt sikkert ikke blevet foretaget fra en telefon, der tilhører nogen, du kender godt nok til at have på din kontaktliste.

Derfor, som en cybersikkerhedsforanstaltning, der har til formål at undgå opkald fra personer, du ikke ønsker at høre fra, eller som kunne være svindlere, kan du bruge jargon-sætningen lav falsk positiv rate at beskrive effektiviteten af ​​CLI.

En falsk positiv i denne sammenhæng repræsenterer et opkald fra en, du kender, opkald fra et nummer, det ville være sikkert at stole på, bliver fejlopdaget og forkert blokeret, fordi det er et nummer, du ikke genkender.

Den slags fejl er usandsynlig, for hverken venner eller svindlere vil sandsynligvis foregive at være en, du ikke kender.

Men den nytte virker kun i én retning.

Som en cybersikkerhedsforanstaltning til at hjælpe dig med at identificere opkaldere, du har tillid til, har CLI en ekstrem falsk negativt problem, hvilket betyder, at hvis et opkald dukker op fra Dad eller Auntie Gladys, eller måske mere væsentligt, fra Your Bank...

…så er der en betydelig risiko for, at det er et svindelopkald, der bevidst er blevet manipuleret til at komme forbi din "Kender jeg den, der ringer?" test.

Intet bevis for noget

Kort sagt: de numre, der vises på din telefon, før du besvarer et opkald, antyder kun, hvem der ringer og bør aldrig bruges som "bevis" for den, der ringer op.

Indtil tidligere på ugen var der faktisk et online crimeware-as-a-service system tilgængeligt via det unapologetisk navngivne websted ispoof.cc, hvor potentielle vishing-kriminelle (stemmephishing) kunne købe telefontjenester over internettet med nummerspoofing inkluderet.

Med andre ord, for et beskedent indledende udlæg, svindlere, der ikke selv var tekniske nok til at oprette deres egne svigagtige internettelefoniservere, men som havde den slags sociale ingeniørfærdigheder, der hjalp dem med at charmere, vildlede eller intimidere ofre over telefonen…

…kan alligevel dukke op på din telefon som skattekontoret, som din bank, som dit forsikringsselskab, som din internetudbyder eller endda som selve det telefonselskab, du købte din egen tjeneste af.

Vi skrev "indtil tidligere i denne uge" ovenfor, fordi iSpoof-webstedet nu er blevet beslaglagt, takket være en global anti-cyberkriminalitetsoperation, der involverer retshåndhævelseshold i mindst ti forskellige lande (Australien, Canada, Frankrig, Tyskland, Irland, Litauen, Holland , Ukraine, Storbritannien og USA):

Megabust gennemført

At beslaglægge et clearweb-domæne og tage dets tilbud offline er ofte ikke nok i sig selv, ikke mindst fordi de kriminelle, hvis de forbliver på fri fod, ofte stadig vil være i stand til at operere på det mørke web, hvor nedtagninger er meget sværere pga. svært ved at spore, hvor serverne rent faktisk er.

Eller skurkene vil simpelthen dukke op igen med et nyt domæne, måske under et nyt "brand name", serviceret af et endnu mindre omhyggeligt hostingfirma.

Men i dette tilfælde blev domænebeslaglæggelsen kort forud for et stort antal arrestationer – 142 faktiskifølge Europol:

Retslige og retshåndhævende myndigheder i Europa, Australien, USA, Ukraine og Canada har fjernet et websted, der tillod svindlere at udgive sig for betroede virksomheder eller kontakter for at få adgang til følsomme oplysninger fra ofre, en type cyberkriminalitet kendt som 'spoofing'. Hjemmesiden menes at have forårsaget et anslået verdensomspændende tab på over £100 millioner (€115 millioner).

I en koordineret aktion ledet af Det Forenede Kongerige og støttet af Europol og Eurojust er 142 mistænkte blevet anholdt, inklusive hovedadministratoren af ​​webstedet.

Mere end 100 af disse anholdelser var alene i Storbritannien, ifølge Londons Metropolitan Police, med op til 200,000 britiske ofre bliver snydt for mange millioner pund:

iSpoof tillod brugere, der betalte for tjenesten i Bitcoin, at skjule deres telefonnummer, så det så ud til, at de ringede fra en betroet kilde. Denne proces er kendt som 'spoofing'.

Kriminelle forsøger at narre folk til at aflevere penge eller give følsomme oplysninger såsom engangskoder til bankkonti.

Det gennemsnitlige tab fra dem, der rapporterede at være målrettet, antages at være £10,000.

I løbet af de 12 måneder indtil august 2022 blev der foretaget omkring 10 millioner svigagtige opkald globalt via iSpoof, hvoraf omkring 3.5 millioner blev foretaget i Storbritannien.

Af disse varede 350,000 opkald mere end et minut og blev foretaget til 200,000 personer.

Ifølge BBC er påstået hovedmand var en 34-årig ved navn Teejai Fletcher, som er blevet varetægtsfængslet i afventning af et retsmøde i Southwark, London, 2022-12-06.

Hvad skal jeg gøre?

• TIP 1. Behandl opkalds-ID som intet andet end et tip.

Det vigtigste at huske (og at forklare til venner og familie, du tror kan være sårbare over for denne form for fidus), er dette: NUMMERET PÅ DIN TELEFON, FØR DU SVARER, BEVISER INGENTING.

Disse opkalds-id-numre er intet bedre end en vag antydning af den person eller det firma, der ser ud til at ringe til dig.

Når din telefon ringer og navngiver opkaldet med ordene Your Bank's Name Here, husk, at de ord, der dukker op, kommer fra din egen kontaktliste, hvilket ikke betyder mere, end at nummeret, som den, der ringer, svarer til en post, du selv har tilføjet til dine kontakter.

Sagt på en anden måde giver det nummer, der er knyttet til et indgående opkald, ikke mere "identitetsbevis" end teksten i Subject: linje i en e-mail, som indeholder hvad end afsenderen har valgt at indtaste.

---

• TIP 2. Foretag altid selv officielle opkald ved hjælp af et nummer, du kan stole på.

Hvis du virkelig har brug for at kontakte en organisation som f.eks. din bank via telefon, skal du sørge for at starte opkaldet og bruge et nummer, som du selv har beregnet.

Se for eksempel på et nyligt officielt kontoudtog, tjek bagsiden af ​​dit bankkort, eller besøg endda en filial og spørg en medarbejder ansigt til ansigt om det officielle nummer, som du skal ringe til i fremtidige nødsituationer.

---

• TIP 3. Lad ikke tilfældigheder overbevise dig om, at et opkald er ægte.

Brug aldrig tilfældigheder som "bevis" på, at opkaldet skal være ægte, såsom at antage, at opkaldet "sikkert" skal være fra banken, blot fordi du havde nogle irriterende problemer med netbank i morges, eller betalte en ny leverandør for den første tid lige i eftermiddag.

Husk, at iSpoof-svindlerne lavede mindst 3,500,000 opkald alene i Storbritannien (og 6.5 millioner opkald andre steder) over en 12-måneders periode, hvor svindlere i gennemsnit foretager et opkald hvert tredje sekund på de mest sandsynlige tidspunkter af dagen, så tilfældigheder som dette er ikke blot muligt, de er så godt som uundgåelige.

Disse svindlere har ikke til formål at snyde 3,500,000 mennesker ud af £10 hver … faktisk er det meget mindre arbejde for dem at snyde £10,000 hver ud af et par tusinde mennesker ved at være heldige og få kontakt med de få tusinde mennesker på netop det øjeblik, hvor de er mest sårbare.

---

• TIP 4. Vær der for udsatte venner og familie.

Sørg for, at venner og familie, som du tror kan være sårbare over for at blive sødsnakket (eller slået, forvirret og skræmt) af svindlere, uanset hvordan de først kontaktes, ved, at de kan og bør henvende sig til dig for at få råd, før de aftaler til noget over telefonen.

Og hvis nogen beder dem om at gøre noget, der tydeligvis er en indtrængen i deres personlige digitale rum, såsom at installere Teamviewer for at lade dem komme ind på computeren, læse en hemmelig adgangskode op fra skærmen eller fortælle dem et personligt identifikationsnummer eller adgangskode...

…sørg for, at de ved, at det er OK blot at lægge på uden at sige et eneste ord yderligere, og tage kontakt til dig for at tjekke fakta først.

---

Åh, en ting mere: politiet i London har sagt, at de i løbet af denne efterforskning har erhvervet en databasefil (vi gætter på, at den er fra en slags opkaldslogningssystem) indeholdende 70,000,000 rækker, og at de har identificeret en kæmpestor 59,000 mistænkte, hvoraf et sted nord for 100 allerede er anholdt.

Det er klart, at de mistænkte ikke er så anonyme, som de måske havde troet, så politiet fokuserer først på "dem, der har brugt mindst 100 £ Bitcoin for at bruge siden."

Svindlere lavere nede i hakkerækkefølgen banker måske ikke på døren endnu, men det kan bare være et spørgsmål om tid...

---

LÆR MERE OM DIVERSIFIKATIONEN AF CYBERKRIMINALITET, OG HVORDAN MAN EFFEKTIVT BEKÆMPER TILBAGE, I VORES TRUSSELSRAPPORT PODCAST

Fuld udskrift for dem, der foretrækker at læse frem for at lytte.

Med Paul Ducklin og John Shier.

Intro og outro musik af Edith Mudge.

Du kan lytte til os på Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher og overalt, hvor gode podcasts findes. Eller bare drop URL til vores RSS-feed til din yndlings podcatcher.

---