Eine aktuelle Phishing-Kampagne nutzt die neue Partnerschaft von Capital One mit dem Verifizierungsdienst Authentify aus und sendet Tausende von Betrugs-E-Mails an die Kunden der Bank, um sie dazu zu bringen, Bilder ihrer Ausweise hochzuladen.
Die E-Mails scheinen von a gesendet zu werden Capital One Laut Vade-Forschern, die die Kampagne seit dem 1. Juli verfolgen, wird erklärt, was die Authentifizierungs-App Authentify tut. Die Angreifer schickten an einem Tag mindestens 6,000 Menschen los.
„Sie müssen eine Kopie Ihres Ausweises zur Überprüfung vorlegen und sicherstellen, dass Sie vollständig registriert sind, um Kontobeschränkungen jetzt zu vermeiden“, heißt es in der Phishing-E-Mail.
Vade bemerkte das im Gegensatz zu den meisten anderen Kampagnen, die auf Anmeldeinformationen abzielen, dieser Capital One-Phishing-Betrug zielte auf Identitäten ab.
Phisher schauen sich die Nachrichten an
Der Zeitpunkt der Kampagne zeigt, dass Cyberkriminelle sich der Nachrichten sehr bewusst sind, die sie nutzen können, um den Opfern ihre neuesten Betrügereien zu verkaufen Vade-Bericht sagte und fügte hinzu, dass Capital One am selben Tag, an dem Capital One bekannt gab, dass es mit Authentify zusammenarbeiten würde, sechs andere Finanzinstitute, darunter Bank of America, PNC Bank, Wells Fargo und andere Haushaltsmarken, ähnliche Deals angekündigt hätten.
Diese Phishing-Angriffe stellen einen größeren Trend dar, bei dem Bedrohungsakteure Finanzdienstleistungsmarken als Phishing-Köder für Cyberkriminalität nutzen, fügte Vade hinzu. Derzeit werden Finanzdienstleistungsmarken am häufigsten gefälscht und machten laut der Analyse von Vade ganze 34 % aller Phishing-URLs im ersten Quartal 2022 aus.
„Wir gehen davon aus, dass sich dieser Trend fortsetzt, und fordern die Benutzer auf, sowohl gegenüber E-Mails von Finanzinstituten als auch gegenüber mit diesen Institutionen verbundenen Drittanbieteranwendungen misstrauisch zu sein“, heißt es in dem Bericht. „Gehen Sie immer davon aus, dass beides gefälscht werden kann, und melden Sie sich bei Konten immer direkt über einen Browser oder eine Anwendung und nicht per E-Mail an.“
