ВЕС-мошенничество мигрирует на мобильные платформы

Исследователи из компании Agari сообщают о BEC-мошенничестве с использованием SMS. Преступники получают телефонные номера сотрудников организаций посредством фишинговых email-рассылок. Затем они вынуждают жертву общаться через смартфон, что повышает шансы мошеннической операции на успех.

По данным экспертов, в ходе кампании злоумышленники выдают себя за генерального директора компании, в которой работает жертва. Получив телефонный номер сотрудника, они просят его выполнить срочное задание — купить подарочные карты и отправить PIN-коды от них. Использование жертвой смартфона позволяет мошенникам быстро добиться от нее нужных действий.

Полученные коды злоумышленники конвертируют в биткойны с помощью таких онлайн-магазинов, как Paxful. Затем они могут использовать другие сервисы для обмена криптовалюты.

С точки зрения безопасности, общение по SMS не увеличивает риски преступников быть идентифицированными. Для проведения мошеннических кампаний они могут регистрировать временные номера телефонов США. Помимо того, использование Google Voice позволяет злоумышленникам рассылать SMS непосредственно с ПК, а также выполнять сразу несколько атак с одного телефонного номера.

Поскольку страховки не всегда покрывают ущерб от BEC-кампаний, организациям особенно важно обеспечить должную защиту от них. Рабочий персонал следует учить тому, как реагировать на сообщения о финансовых задачах. Например, получив по email задание, требующее перевода денежных средств, сотрудник должен запросить подтверждение у руководства коротким телефонным звонком.

Напомним, о другом случае BEC-мошенничества исследователи из компании Agari рассказали в декабре прошлого года. Злоумышленники из группировки London Blue атаковали компании более чем в 80 странах. Они отправляли жертвам письма от лица руководства, в которых просили сотрудников провести срочные платежи. Сообщения рассылались на нескольких языках, в том числе на английском, немецком, испанском и шведском.

Источник: https://threatpost.ru/bec-scam-goes-mobile/31921/