加州EDD预付借记卡短信钓鱼诈骗
作者:Tony Perez | 2024年1月29日
今天早上我收到一条短信,通知我的加州EDD预付借记卡将被暂停,并有一笔6,390美元的存款,直到我验证我的美国银行信用卡:
如果你不在加州生活,这显然是个骗局;但如果你在加州并与加州EDD合作,这可能会让你误以为它是真实的。
诈骗利用真实事件
在这起诈骗中,恶意行为者滥用了加州就业发展部(EDD)正在实施的一项变更,即宣布转向电子福利支付。
从美国银行转向Money Network的过渡将从发行新的、带有微芯片的增强型预付借记卡开始,随后在新年晚些时候提供新的直接存款选项。从2023年12月4日星期一开始,EDD将向约85万名活跃福利申请的加州人发送信件,告知关键过渡日期和行动。
这进一步复杂化,因为2024年1月17日他们还宣布预计会收到通知:
就业发展部(EDD)正在联系失业、残疾和带薪家事假客户,提供时间线和信息,以协助从美国银行借记卡向Money Network预付借记卡的过渡。
了解他们从美国银行转向Money Network是重要的,当我们查看他们采用的TTPs(战术、技术和程序)时,这会变得有意义。
诈骗者如何窃取信息
诈骗者利用真实事件,并试图模仿公开可访问的信息。他们利用短信钓鱼(SMISHING)活动针对尽可能多的用户。下面我将分解其工作原理。
需要监控和黑名单的诈骗域名
以下是他们对域名的操作:
- 真实网站:https://www.visaprepaidprocessing.com/eddcard/Home/Index
- 虚假网站:visaprepaldprocessings.replit.app
- 注意他们遵循了类似的命名法
- 注意他们拼写错误:“paid”拼成了“l”而不是“i”
- 注意他们使用replit.app服务快速创建页面
以下是诈骗的解剖结构,以及它如何在不同系统之间导航以完成循环并尽可能多地捕获用户信息:
窃取信息的主要域名是ca-boaprepaidd.com,它似乎已注册,可能由Squarespace托管并通过CloudFlare代理:
|
|
他们还使用replit.com应用程序快速创建第一个重定向,并使用cognitoforms.com上传用户信息。
用户在此流程中的体验
当你打开诈骗者发送的网站时,你会看到:
页面上唯一有效的是“继续”按钮。如果你点击任何其他链接,你会发现它们是死链接。他们甚至验证以确保你在继续之前完成表单。
完成表单后,他们会将你重定向到一个登录页面,甚至警告你登录可能与你通常用于美国银行的登录不同:
看起来他们接受你提供的任何用户名和密码。你应该假设,如果你输入真实的用户名和密码,他们很可能也在保存这些信息。
当你点击继续时,它会带你到一个上传身份证的页面:
一旦你上传了你的信息,他们通过要求你验证信息来完成循环:
我尝试拨打这个号码,但我要联系的人还没有设置语音邮件。哈哈
警惕短信钓鱼攻击
基于短信的网络钓鱼诈骗(SMISHING)近年来因其对普通大众的有效性而日益流行。通过文本攻击,恶意行为者可以利用用户的决策能力,专注于紧急、危险或个人的事情,如上面的例子所示。
他们几乎总是试图滥用以下三点中的一点,如果不是全部:
- 信任:通过冒充合法组织或个人,攻击者可以降低目标的怀疑。
- 情绪:攻击者通过制造恐慌来利用用户。
- 上下文:网络攻击可以轻松收集几条信息,并将其用作短信内容,有效地构建伪装。
与我上一篇关于针对桌面的在线诈骗的文章类似,你几乎总是可以将受此影响最大的群体缩小到孩子、父母和老年人;这些用户群体要么天真,要么在在线威胁方面技术不足。
无论我们拥有什么工具,最有效的应对方法之一是意识和教育。