FBI警告:2025年账户接管欺诈造成2.62亿美元损失
美国联邦调查局(FBI)发布警告称,自2025年1月以来,账户接管(ATO)欺诈计划已造成超过2.62亿美元的损失。
在11月25日发布的公共服务公告中,FBI指出网络犯罪分子正在冒充金融机构,通过ATO计划窃取资金或信息。ATO是指网络犯罪分子未经授权访问目标在线金融机构、工资单或健康储蓄账户,旨在窃取资金或信息以谋取私利。
诈骗者通常结合使用社会工程学技术和钓鱼域名或网站进行欺诈活动。网络犯罪分子冒充金融机构员工、客户支持或技术支持人员,诱骗账户所有者披露登录凭证、多因素认证(MFA)或一次性密码。
社会工程学诈骗导致账户接管
账户所有者可能通过欺诈性短信、电话或电子邮件被联系,诱骗收件人提供登录凭证。部分信息会声称账户存在异常活动,并附有钓鱼网站链接,这些网站被设计成让用户误以为正在举报欺诈行为。
根据FBI的调查,诈骗者还会提醒账户持有人有关高风险物品(如枪支)的所谓欺诈性购买。网络犯罪分子说服账户所有者将信息提供给冒充执法人员的第二名网络犯罪分子,后者进而说服账户所有者提供账户信息。
欺诈网站窃取凭证
一旦联系到账户所有者,他们会被引导至通常看似合法在线金融机构或工资单网站的欺诈网站。用户误认为钓鱼网站是合法的,将登录凭证输入欺诈网站,无意中将其提供给网络犯罪分子。
搜索引擎优化(SEO)投毒也是网络犯罪分子的常用策略。这涉及黑客购买模仿合法商业广告的广告,通过使其对使用搜索引擎查找企业网站的客户显得更真实,来提高其钓鱼网站的突出性。当用户点击欺诈性搜索引擎广告时,他们会被引导至模仿真实网站的复杂欺诈性钓鱼网站,诱使用户提供登录信息。
防范账户接管诈骗
FBI在公告中概述了多项可采取的应对ATO尝试的措施,包括:
- 谨慎对待在线分享的信息。公开分享宠物名称、就读学校、出生日期或家庭成员信息,可能为诈骗者提供猜测密码或回答安全问题所需的信息
- 定期监控金融账户以发现异常情况
- 在任何可能的账户上启用双因素认证或MFA,并始终使用复杂且唯一的密码
- 避免点击互联网搜索结果或广告,这些可能导向恶意网站。应使用书签导航至登录网站,并仔细检查任何未经请求的邮件中的电子邮件地址、URL或拼写
- 对钓鱼尝试保持警惕。对未知的“银行”或“公司”员工来电保持怀疑;不要信任来电显示。挂断电话,验证正确号码,然后自行拨打。公司通常不会主动联系您询问用户名、密码或OTP