Trang web lừa đảo bằng giọng nói “iSpoof” bị tịch thu, 100 người bị bắt trong cuộc đàn áp lớn

Ngày nay, hầu hết chúng ta đều có điện thoại hiển thị số đang gọi trước khi chúng ta trả lời.

“Tính năng” này thực ra đã có từ những năm 1960 và nó được biết đến trong tiếng Anh Bắc Mỹ là Người gọi ID, mặc dù nó không thực sự xác định người gọi, mà chỉ là số của người gọi.

Ở những nơi khác trong thế giới nói tiếng Anh, bạn sẽ thấy tên CLI được sử dụng thay thế, viết tắt của Nhận dạng đường dây gọi, thoạt nhìn có vẻ là một thuật ngữ tốt hơn, chính xác hơn.

Nhưng đây là vấn đề: bạn có gọi nó là Người gọi ID or CLI, nó không được sử dụng nhiều hơn trong việc xác định số điện thoại thực của người gọi hơn là From: tiêu đề trong một email là xác định người gửi email.

Hiển thị những gì bạn thích

Nói một cách dễ hiểu, kẻ lừa đảo biết họ đang làm gì có thể lừa điện thoại của bạn hiển thị hầu hết mọi số họ muốn làm nguồn cuộc gọi của họ.

Hãy nghĩ xem điều đó có nghĩa là gì.

Nếu bạn nhận được một cuộc gọi đến từ một số mà bạn không nhận ra, thì gần như chắc chắn rằng cuộc gọi đó không được thực hiện từ điện thoại của bất kỳ ai mà bạn biết đủ rõ để có trong danh sách liên lạc của mình.

Do đó, như một biện pháp an ninh mạng nhằm tránh các cuộc gọi từ những người mà bạn không muốn nghe hoặc những người có thể là những kẻ lừa đảo, bạn có thể sử dụng cụm từ biệt ngữ tỷ lệ dương tính giả thấp để mô tả hiệu quả của CLI.

Kết quả dương tính giả trong ngữ cảnh này thể hiện cuộc gọi từ một người mà bạn biết, gọi từ một số mà bạn có thể tin tưởng một cách an toàn, bị phát hiện nhầm và bị chặn nhầm vì đó là số bạn không nhận ra.

Loại lỗi đó khó xảy ra vì cả bạn bè và kẻ lừa đảo đều không có khả năng giả làm người mà bạn không biết.

Nhưng sự hữu ích đó chỉ hoạt động theo một hướng.

Là một biện pháp an ninh mạng giúp bạn xác định những người gọi mà bạn tin tưởng, CLI có một vấn đề âm tính giả, nghĩa là nếu một cuộc gọi bật lên từ Dad, hoặc là Auntie Gladys, hoặc có lẽ quan trọng hơn, từ Your Bank...

…thì có một rủi ro đáng kể rằng đó là một cuộc gọi lừa đảo được cố tình thao túng để qua mặt bạn “Tôi có biết người gọi không?” thử nghiệm.

Không có bằng chứng về bất cứ điều gì

Nói một cách đơn giản: các số hiển thị trên điện thoại của bạn trước khi bạn trả lời cuộc gọi chỉ gợi ý ai đang gọi và nên không bao giờ được sử dụng làm “bằng chứng” về danh tính của người gọi.

Thật vậy, cho đến đầu tuần này, đã có một hệ thống dịch vụ phần mềm tội phạm trực tuyến có sẵn thông qua trang web có tên không khoa học ispoof.cc, nơi bọn tội phạm vishing (lừa đảo bằng giọng nói) có thể mua các dịch vụ điện thoại qua internet có bao gồm cả giả mạo số.

Nói cách khác, với số tiền bỏ ra ban đầu khiêm tốn, những kẻ lừa đảo không đủ kỹ thuật để thiết lập máy chủ điện thoại internet gian lận của riêng chúng, nhưng lại có loại kỹ năng kỹ thuật xã hội giúp chúng thu hút, lừa dối hoặc đe dọa nạn nhân. điện thoại…

…tuy nhiên, có thể xuất hiện trên điện thoại của bạn với tư cách là cơ quan thuế, ngân hàng, công ty bảo hiểm, ISP của bạn hoặc thậm chí là chính công ty điện thoại mà bạn đang mua dịch vụ của riêng mình.

Chúng tôi đã viết “cho đến đầu tuần này” ở trên vì trang web iSpoof hiện đã bị tịch thu nhờ một hoạt động chống tội phạm mạng toàn cầu có sự tham gia của các nhóm thực thi pháp luật ở ít nhất mười quốc gia khác nhau (Úc, Canada, Pháp, Đức, Ireland, Litva, Hà Lan , Ukraine, Vương quốc Anh và Hoa Kỳ):

Megabust tiến hành

Việc chiếm giữ một miền Clearweb và đưa các dịch vụ của miền đó đi ngoại tuyến thường là không đủ, đặc biệt là bởi vì bọn tội phạm, nếu chúng vẫn còn ở quy mô lớn, thường sẽ vẫn có thể hoạt động trên dark web, nơi mà việc triệt phá khó khăn hơn nhiều do khó theo dõi vị trí thực sự của các máy chủ.

Hoặc những kẻ lừa đảo sẽ đơn giản xuất hiện trở lại với một tên miền mới, có thể dưới một “tên thương hiệu” mới, được cung cấp bởi một công ty lưu trữ thậm chí còn ít cẩn trọng hơn.

Nhưng trong trường hợp này, việc chiếm đoạt tên miền diễn ra ngay trước một số lượng lớn các vụ bắt giữ – 142, trên thực tế, theo Europol:

Các cơ quan thực thi pháp luật và tư pháp ở Châu Âu, Úc, Hoa Kỳ, Ukraine và Canada đã gỡ bỏ một trang web cho phép những kẻ lừa đảo mạo danh các tập đoàn hoặc địa chỉ liên hệ đáng tin cậy để truy cập thông tin nhạy cảm từ các nạn nhân, một loại tội phạm mạng được gọi là 'giả mạo'. Trang web được cho là đã gây ra thiệt hại ước tính trên toàn thế giới vượt quá 100 triệu bảng Anh (115 triệu euro).

Trong một hành động phối hợp do Vương quốc Anh dẫn đầu và được Europol và Eurojust hỗ trợ, 142 nghi phạm đã bị bắt giữ, bao gồm cả quản trị viên chính của trang web.

Hơn 100 vụ bắt giữ chỉ riêng ở Vương quốc Anh, theo Cảnh sát Thủ đô Luân Đôn, với tối đa 200,000 nạn nhân ở Anh bị lừa cho nhiều triệu bảng:

iSpoof cho phép người dùng, những người đã trả tiền cho dịch vụ bằng Bitcoin, ngụy trang số điện thoại của họ để có vẻ như họ đang gọi từ một nguồn đáng tin cậy. Quá trình này được gọi là 'giả mạo'.

Tội phạm cố lừa mọi người giao tiền hoặc cung cấp thông tin nhạy cảm như mật mã dùng một lần cho tài khoản ngân hàng.

Khoản lỗ trung bình từ những người báo cáo là mục tiêu được cho là 10,000 bảng Anh.

Trong 12 tháng tính đến tháng 2022 năm 10, khoảng 3.5 triệu cuộc gọi lừa đảo đã được thực hiện trên toàn cầu thông qua iSpoof, trong đó có khoảng XNUMX triệu cuộc gọi được thực hiện ở Vương quốc Anh.

Trong số đó, 350,000 cuộc gọi kéo dài hơn một phút và được thực hiện tới 200,000 cá nhân.

Theo BBC, kẻ lừa đảo bị cáo buộc là một người đàn ông 34 tuổi tên là Teejai Fletcher, người đã bị tạm giam trong khi chờ hầu tòa ở Southwark, London, vào ngày 2022-12-06.

Phải làm gì?

• MẸO 1. Coi ID người gọi không hơn gì một gợi ý.

Điều quan trọng nhất cần nhớ (và để giải thích cho bất kỳ bạn bè và gia đình nào mà bạn cho rằng có thể dễ bị lừa đảo kiểu này) là: SỐ NGƯỜI GỌI HIỂN THỊ TRÊN ĐIỆN THOẠI CỦA BẠN TRƯỚC KHI BẠN TRẢ LỜI KHÔNG CHỨNG MINH ĐƯỢC GÌ.

Những số ID người gọi đó không có gì tốt hơn là một gợi ý mơ hồ về người hoặc công ty dường như đang gọi cho bạn.

Khi điện thoại của bạn đổ chuông và đặt tên cuộc gọi bằng các từ Your Bank's Name Here, hãy nhớ rằng các từ bật lên đến từ danh sách liên hệ của chính bạn, nghĩa là số do người gọi cung cấp không khác gì số khớp với mục bạn đã tự thêm vào danh bạ của mình.

Nói cách khác, số liên quan đến cuộc gọi đến không cung cấp “bằng chứng nhận dạng” nào hơn văn bản trong Subject: dòng của một email, trong đó có bất cứ điều gì người gửi đã chọn để nhập vào.

---

• MẸO 2. Luôn tự mình bắt đầu các cuộc gọi chính thức, sử dụng một số mà bạn có thể tin tưởng.

Nếu bạn thực sự cần liên hệ với một tổ chức chẳng hạn như ngân hàng của mình qua điện thoại, hãy đảm bảo rằng bạn bắt đầu cuộc gọi và sử dụng một số mà bạn đã tự tìm ra.

Ví dụ: xem bảng sao kê ngân hàng chính thức gần đây, kiểm tra mặt sau thẻ ngân hàng của bạn hoặc thậm chí đến chi nhánh và hỏi trực tiếp nhân viên về số chính thức mà bạn nên gọi trong trường hợp khẩn cấp trong tương lai.

---

• MẸO 3. Đừng để sự trùng hợp thuyết phục bạn rằng một cuộc gọi là thật.

Không bao giờ sử dụng sự trùng hợp ngẫu nhiên làm “bằng chứng” rằng cuộc gọi phải là thật, chẳng hạn như giả định rằng cuộc gọi “chắc chắn” là từ ngân hàng chỉ vì bạn gặp một số rắc rối khó chịu với dịch vụ ngân hàng trực tuyến vào sáng nay hoặc đã thanh toán cho một nhà cung cấp mới cho cuộc gọi đầu tiên. thời gian chỉ trong chiều nay.

Hãy nhớ rằng những kẻ lừa đảo iSpoof đã thực hiện ít nhất 3,500,000 cuộc gọi chỉ riêng ở Vương quốc Anh (và 6.5 triệu cuộc gọi ở nơi khác) trong khoảng thời gian 12 tháng, với những kẻ lừa đảo thực hiện trung bình một cuộc gọi cứ sau ba giây vào những thời điểm có khả năng xảy ra nhất trong ngày, do đó, sự trùng hợp ngẫu nhiên như thế này không chỉ đơn thuần là có thể, chúng tốt như không thể tránh khỏi.

Những kẻ lừa đảo này không nhằm mục đích lừa đảo 3,500,000 người trong số 10 bảng Anh mỗi người… trên thực tế, việc lừa đảo 10,000 bảng Anh mỗi người trong số vài nghìn người sẽ dễ dàng hơn nhiều, bằng cách gặp may mắn và liên hệ với vài nghìn người đó tại thời điểm mà họ dễ bị tổn thương nhất.

---

• MẸO 4. Luôn ở bên những người bạn và gia đình dễ bị tổn thương.

Đảm bảo rằng bạn bè và gia đình mà bạn nghĩ có thể dễ bị những kẻ lừa đảo nói ngon ngọt (hoặc mắng mỏ, bối rối và đe dọa), bất kể họ lần đầu tiên liên lạc như thế nào, biết rằng họ có thể và nên tìm đến bạn để xin lời khuyên trước khi đồng ý cho bất cứ điều gì qua điện thoại.

Và nếu bất kỳ ai yêu cầu họ làm điều gì đó rõ ràng là xâm phạm không gian kỹ thuật số cá nhân của họ, chẳng hạn như cài đặt Teamviewer để cho phép họ vào máy tính, đọc mã truy cập bí mật trên màn hình hoặc cho họ biết số nhận dạng cá nhân hoặc mật khẩu…

…đảm bảo rằng họ biết rằng bạn chỉ cần cúp máy mà không nói thêm một lời nào và liên hệ với bạn để kiểm tra thông tin trước là được.

---

Ồ, một điều nữa: cảnh sát Luân Đôn đã nói rằng trong quá trình điều tra này, họ đã có được một tệp cơ sở dữ liệu (chúng tôi đoán nó từ một số loại hệ thống ghi nhật ký cuộc gọi) chứa 70,000,000 hàng và họ đã xác định được một con số khổng lồ. 59,000 nghi phạm, trong số đó khoảng 100 người đã bị bắt.

Rõ ràng, những nghi phạm đó không ẩn danh như họ nghĩ, vì vậy cảnh sát đang tập trung đầu tiên vào “những người đã chi ít nhất £100 Bitcoin để sử dụng trang web.”

Những kẻ lừa đảo hạ thấp trật tự mổ xẻ có thể chưa gõ cửa, nhưng đó có thể chỉ là vấn đề thời gian…

---

TÌM HIỂU THÊM VỀ SỰ ĐA DẠNG CỦA TỘI PHẠM MẠNG VÀ CÁCH CHỐNG LẠI MỘT CÁCH HIỆU QUẢ, TRONG PODCAST BÁO CÁO Đe dọa CỦA CHÚNG TÔI

Bảng điểm đầy đủ dành cho những người thích đọc hơn nghe.

Với Paul Ducklin và John Shier.

Nhạc giới thiệu và kết thúc bởi Edith Mudge.

Bạn có thể lắng nghe chúng tôi trên Soundcloud, Podcast của Apple, Google Podcasts, Spotify, người may quần áo và bất cứ nơi nào tìm thấy podcast tốt. Hoặc chỉ cần thả URL của nguồn cấp dữ liệu RSS của chúng tôi vào podcatcher yêu thích của bạn.

---