Ses dolandırıcılığı sitesi "iSpoof" ele geçirildi, 100'lerce kişi büyük çaplı baskıyla tutuklandı

Bugünlerde çoğumuz, biz cevap vermeden önce arayan numarayı gösteren telefonlara sahibiz.

Bu "özellik" aslında 1960'lara kadar gider ve Kuzey Amerika İngilizcesinde şu şekilde bilinir: Arayan kimliği, gerçekte arayan kişiyi tanımlamasa da, yalnızca arayanın numarası.

İngilizce konuşulan dünyanın başka bir yerinde, adı göreceksiniz CLI bunun yerine kullanılır, kısaltması Arayan Hat Kimliği, ilk bakışta daha iyi, daha kesin bir terim gibi görünüyor.

Ama olay şu: siz onu çağırın Arayan kimliği or CLI, Arayanın gerçek telefon numarasını belirlemede daha fazla faydası yoktur. From: bir e-postadaki başlık bir e-postanın göndericisini belirleme aşamasındadır.

Neyi sevdiğini göster

Kabaca söylemek gerekirse, ne yaptığını bilen bir dolandırıcı, aramalarının kaynağı olarak neredeyse istedikleri herhangi bir numarayı göstermesi için telefonunuzu kandırabilir.

Bunun ne anlama geldiğini düşünelim.

Tanımadığınız bir numaradan gelen bir arama alırsanız, bu aramanın kişi listenizde olacak kadar iyi tanıdığınız bir telefondan yapılmadığı neredeyse kesindir.

Bu nedenle, duymak istemediğiniz veya dolandırıcı olabilecek kişilerden gelen aramalardan kaçınmayı amaçlayan bir siber güvenlik önlemi olarak, jargon ifadesini kullanabilirsiniz. düşük yanlış pozitif oranı CLI'nin etkinliğini açıklamak için.

Bu bağlamda yanlış pozitif, tanıdığınız birinden gelen aramayı, güvenebileceğiniz bir numaradan aramayı, tanımadığınız bir numara olduğu için yanlış tespit edilmeyi ve yanlışlıkla engellenmeyi temsil eder.

Bu tür bir hata pek olası değildir, çünkü ne arkadaşlar ne de dolandırıcılar muhtemelen tanımadığınız biri gibi davranmazlar.

Ancak bu yararlılık yalnızca bir yönde çalışır.

Güvendiğiniz arayanları belirlemenize yardımcı olacak bir siber güvenlik önlemi olarak CLI, yanlış negatif sorun, şu anlama gelir: Dadya da Auntie Gladysveya belki daha da önemlisi, Your Bank...

…o zaman, sizi aşmak için kasıtlı olarak manipüle edilmiş bir dolandırıcılık araması olması gibi önemli bir risk vardır. "arayanı tanıyor muyum?" testi.

Hiçbir şeyin kanıtı yok

Basitçe söylemek gerekirse, siz bir aramayı yanıtlamadan önce telefonunuzda görünen numaralar yalnızca kimin aradığını gösterir ve araması gerekir. asla arayanın kimliğinin "kanıtı" olarak kullanılmamalıdır.

Gerçekten de, bu haftanın başına kadar, özür dilemeyecek şekilde adlandırılmış web sitesi aracılığıyla sunulan çevrimiçi bir hizmet olarak suç yazılımı sistemi vardı. ispoof.ccolası vishing (sesli kimlik avı) suçlularının, numara sahtekarlığı da dahil olmak üzere internet üzerinden telefon hizmetleri satın alabileceği yer.

Diğer bir deyişle, mütevazi bir başlangıç ​​harcaması karşılığında, kendi hileli internet telefon sunucularını kuracak kadar teknik bilgiye sahip olmayan, ancak kurbanlarını cezbetmelerine, yanıltmalarına veya sindirmelerine yardımcı olacak türden sosyal mühendislik becerilerine sahip olan dolandırıcılar. telefon…

…yine de telefonunuzda vergi dairesi, bankanız, sigorta şirketiniz, İSS'niz ve hatta kendi hizmetinizi satın aldığınız telefon şirketi olarak görünebilir.

Yukarıda "bu hafta başına kadar" yazdık çünkü iSpoof sitesi, en az on farklı ülkedeki (Avustralya, Kanada, Fransa, Almanya, İrlanda, Litvanya, Hollanda) kolluk kuvvetlerinin dahil olduğu küresel bir siber suçla mücadele operasyonu sayesinde ele geçirildi. , Ukrayna, İngiltere ve ABD):

yürütülen megabust

Bir clearweb alan adını ele geçirmek ve tekliflerini çevrimdışına almak çoğu zaman tek başına yeterli değildir, çünkü suçlular, eğer serbest kalırlarsa, çoğu zaman, kaldırma işlemlerinin çok daha zor olduğu karanlık ağda faaliyet gösterebileceklerdir. sunucuların gerçekte nerede olduklarını izlemenin zorluğu.

Veya dolandırıcılar, belki de daha az titiz bir barındırma şirketi tarafından hizmet verilen yeni bir "marka adı" altında yeni bir alan adı ile yeniden ortaya çıkacaktır.

Ancak bu durumda, alan ele geçirme işleminden kısa bir süre önce çok sayıda tutuklama gerçekleşti. 142, aslında, Europol'e göre:

Avrupa, Avustralya, Amerika Birleşik Devletleri, Ukrayna ve Kanada'daki adli makamlar ve kolluk kuvvetleri, 'sahtekarlık' olarak bilinen bir tür siber suç olan, dolandırıcıların kurbanların hassas bilgilerine erişmek için güvenilir şirketleri veya kişileri taklit etmesine izin veren bir web sitesini kaldırdı. Web sitesinin dünya çapında tahmini olarak 100 milyon sterlini (115 milyon avro) aşan bir kayba neden olduğuna inanılıyor.

İngiltere'nin öncülüğünde Europol ve Eurojust'ın desteklediği koordineli bir operasyonda, aralarında internet sitesinin ana yöneticisinin de bulunduğu 142 zanlı tutuklandı.

Londra Büyükşehir Polisi'ne göre, bu tutuklamaların 100'den fazlası yalnızca Birleşik Krallık'ta gerçekleşti. 200,000 Birleşik Krallık kurbanı kazıklanıyor milyonlarca pound için:

iSpoof, hizmet için Bitcoin ile ödeme yapan kullanıcıların, telefon numaralarını güvenilir bir kaynaktan arıyormuş gibi gösterecek şekilde gizlemelerine izin verdi. Bu işlem 'spoofing' olarak bilinir.

Suçlular, insanları para vermeleri veya banka hesaplarına tek seferlik şifreler gibi hassas bilgiler vermeleri için kandırmaya çalışır.

Hedef alındığını bildirenlerin ortalama kaybının 10,000 £ olduğuna inanılıyor.

Ağustos 12'ye kadar olan 2022 ayda iSpoof aracılığıyla dünya çapında yaklaşık 10 milyon sahte arama yapıldı ve bunların yaklaşık 3.5 milyonu Birleşik Krallık'ta yapıldı.

Bunların 350,000'i bir dakikadan uzun sürdü ve 200,000 kişiye yapıldı.

BBC'nin haberine göre, sözde elebaşı 34-2022-12'da Londra, Southwark'ta mahkemeye çıkana kadar gözaltında tutulan Teejai Fletcher adında 06 yaşında bir kişiydi.

Ne yapalım?

• İPUCU 1. Arayan kimliğine bir ipucundan başka bir şey gözüyle bakmayın.

Hatırlanması gereken (ve bu tür bir dolandırıcılığa karşı savunmasız olabileceğini düşündüğünüz arkadaşlarınıza ve ailenize açıklamanız gereken) en önemli şey şudur: SİZ CEVAP VERMEDEN ÖNCE TELEFONUNUZDA GÖRÜNEN ARAYANIN NUMARASI HİÇBİR ŞEYİ İSPATLAMAZ.

Bu arayan kimliği numaraları, sizi arıyor gibi görünen kişinin veya şirketin belirsiz bir ipucundan daha iyi bir şey değildir.

Telefonunuz çaldığında ve aramayı kelimelerle adlandırdığında Your Bank's Name Here, açılan kelimelerin kendi kişi listenizden geldiğini unutmayın; bu, arayan tarafından sağlanan numaranın kişilerinize kendiniz eklediğiniz bir girişle eşleşmesinden daha fazla bir anlam ifade etmez.

Başka bir deyişle, gelen aramayla ilişkilendirilen numara, mesajdaki metinden daha fazla "kimlik kanıtı" sağlamaz. Subject: gönderenin yazmayı seçtiği şeyi içeren bir e-posta satırı.

---

• İPUCU 2. Güvenebileceğiniz bir numara kullanarak resmi aramaları her zaman kendiniz başlatın.

Bankanız gibi bir kuruluşla telefonla gerçekten iletişime geçmeniz gerekiyorsa, aramayı başlattığınızdan ve kendiniz için hesapladığınızdan daha fazla bir numara kullandığınızdan emin olun.

Örneğin, yakın tarihli bir resmi banka ekstresine bakın, banka kartınızın arkasını kontrol edin, hatta bir şubeye gidin ve bir personelden yüz yüze, gelecekteki acil durumlarda aramanız gereken resmi numarayı isteyin.

---

• İPUCU 3. Tesadüflerin sizi bir aramanın gerçek olduğuna ikna etmesine izin vermeyin.

Daha bu sabah internet bankacılığıyla ilgili can sıkıcı bir sorun yaşadığınız veya ilk kez yeni bir tedarikçiye ödeme yaptığınız için aramanın "kesinlikle" bankadan geldiğini varsaymak gibi, aramanın gerçek olması gerektiğine dair tesadüfleri asla "kanıt" olarak kullanmayın. tam bu öğleden sonra.

iSpoof dolandırıcılarının 3,500,000 aylık bir süre içinde yalnızca Birleşik Krallık'ta en az 6.5 arama (ve başka yerlerde 12 milyon arama) yaptığını ve dolandırıcıların günün en olası saatlerinde ortalama her üç saniyede bir arama yaptığını unutmayın. bu sadece mümkün değil, aynı zamanda kaçınılmazdır.

Bu dolandırıcıların amacı 3,500,000 kişiyi her biri 10 sterlin dolandırmak değil… Aslında, şansları yaver gidip bu birkaç bin kişiyle iletişim kurarak birkaç bin kişiden her birini 10,000 sterlin dolandırmak onlar için çok daha az iş. en savunmasız oldukları an.

---

• İPUCU 4. Savunmasız arkadaşlarınız ve ailenizin yanında olun.

Dolandırıcılar tarafından tatlı dille konuşulmaya (veya gözdağı verilmeye, kafası karışmaya ve korkutulmalara) karşı savunmasız olabileceğini düşündüğünüz arkadaşlarınızın ve ailenizin, kendileriyle ilk nasıl iletişime geçilirse kurulsun, kabul etmeden önce tavsiye için size başvurabileceklerini ve dönmeleri gerektiğini bildiklerinden emin olun. telefonla herhangi bir şeye.

Ve herhangi biri onlardan, kişisel dijital alanlarına açıkça izinsiz giriş niteliğinde bir şey yapmalarını isterse, örneğin bilgisayara girmelerine izin vermek için Teamviewer'ı yüklemek, ekrandan gizli bir erişim kodunu okumak veya onlara bir kişisel kimlik numarası veya parola söylemek gibi...

… tek bir kelime daha söylemeden telefonu kapatmanın ve önce gerçekleri kontrol etmek için sizinle iletişime geçmenin sorun olmadığını bildiklerinden emin olun.

---

Oh, bir şey daha: Londra polisleri, bu soruşturma sırasında 70,000,000 satır içeren bir veritabanı dosyası (bir tür arama kayıt sisteminden olduğunu tahmin ediyoruz) aldıklarını ve çok sayıda satır tanımladıklarını söylediler. 59,000'ün kuzeyinde bir yerlerde halihazırda tutuklanmış olan 100 şüpheli.

Açıkçası, bu şüpheliler düşündükleri kadar isimsiz değiller, bu yüzden polisler önce onlara odaklanıyor. “Siteyi kullanmak için en az 100 £ Bitcoin harcayanlar.”

Gagalama sırasını düşüren dolandırıcılar henüz kapıyı çalmıyor olabilir, ancak bu an meselesi olabilir…

---

TEHDİT RAPORU PODCAST'IMIZDAN SİBER SUÇLARIN ÇEŞİTLENMESİ VE NASIL ETKİLİ MÜCADELE EDİLECEĞİ HAKKINDA DAHA FAZLA BİLGİ EDİNİN

Tam transkript okumayı dinlemeye tercih edenler için.

Paul Ducklin ve John Shier ile.

Giriş ve çıkış müziği Edith Çamur.

adresinden bizi dinleyebilirsiniz. Soundcloud, Apple Podcast'leri, Google Podcast'ler, Spotify, dikiş ve iyi podcast'lerin bulunduğu her yerde. Ya da sadece bırak RSS beslememizin URL'si en sevdiğiniz podcatcher'a girin.

---