加州EDD预付借记卡SMISHING诈骗

作者：Tony Perez | 2024年1月29日

今天早上我收到一条短信，通知我的加州EDD预付借记卡将被暂停，并有一笔6,390美元的存款，直到我验证我的美国银行信用卡：

诈骗利用真实事件

在此诈骗中，恶意行为者滥用加州就业发展局（EDD）正在实施的一项变更，该局宣布将转向电子福利支付。

从美国银行到Money Network的过渡将从发行带有微芯片的新增强型预付借记卡开始，随后在新年晚些时候提供新的直接存款选项。从2023年12月4日星期一开始，EDD将向约85万名加利福尼亚州活跃福利申请人发送信件，告知关键过渡日期和行动。

诈骗者如何窃取信息

诈骗者利用真实事件，试图模仿公开可访问的信息。他们利用SMISHING活动瞄准尽可能多的用户。下面我将分解其工作原理。

需要监控和黑名单的诈骗域名

以下是他们对域名的操作：

• 真实网站：https://www.visaprepaidprocessing.com/eddcard/Home/Index
• 虚假网站：visaprepaldprocessings.replit.app
  • 注意：他们遵循了类似的命名规则
  • 注意：他们将"paid"拼写错误，用"l"代替了"i"
  • 注意：他们使用replit.app服务快速创建页面

以下是诈骗的解剖结构，以及它如何在不同系统之间导航以完成循环并从用户那里捕获尽可能多的信息：

窃取信息的主要域名是ca-boaprepaidd.com，似乎已注册，可能由Squarespace托管并通过CloudFlare代理：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

域名名称：ca-boaprepaidedd.com
注册局域名ID：2847513184_DOMAIN_COM-VRSN
注册商WHOIS服务器：whois.squarespace.domains
注册商URL：https://domains2.squarespace.com
更新日期：2024-01-19T00:10:07Z
创建日期：2024-01-18T23:35:09Z
注册商注册到期日期：2025-01-18T23:35:09Z
注册商：Squarespace Domains II LLC
注册商IANA ID：895
注册商滥用联系邮箱：abuse-complaints@squarespace.com
注册商滥用联系电话：+1.646-693-5324

他们还使用replit.com应用程序快速创建第一个重定向，并使用cognitoforms.com上传用户信息。

用户在此流程中的体验

当你打开诈骗者发送的网站时，你会看到：

页面上唯一有效的是"继续"按钮。如果你点击任何其他链接，你会发现它们是死链接。他们甚至进行了验证，确保你在继续之前完成表单。

完成表单后，他们会将你重定向到登录页面，甚至警告你登录信息可能与你通常用于美国银行的不同：

看起来他们接受你提供的任何用户名和密码。你应该假设，如果你输入真实的用户名和密码，他们很可能也会保存这些信息。

当你点击继续时，它会带你到一个上传身份证的页面：

一旦你上传了信息，他们通过要求你验证信息来完成循环：

警惕SMISHING攻击

基于短信的网络钓鱼诈骗（SMISHING）多年来因其对普通大众的有效性而越来越受欢迎。通过基于文本的攻击，恶意行为者可以利用用户的决策能力，专注于紧急、危险或个人的事情，如上面的例子所示。

他们几乎总是试图滥用以下三个中的一个，如果不是全部：

• 信任：通过冒充合法组织或个人，攻击者可以降低目标的怀疑
• 情绪：攻击者通过制造恐慌来利用用户
• 上下文：网络攻击可以轻松收集一些信息，并将其用作短信内容，有效地建立伪装

技术防护建议

与针对桌面的在线诈骗类似，受此影响最大的群体几乎总是可以缩小到儿童、父母和老年人；这些用户群体要么天真，要么在在线威胁方面技术不足。

无论我们拥有什么工具，最有效的应对方法之一是提高意识和教育。