header-logo

Communication marketing basée sur l'intelligence artificielle

Avis de non-responsabilité : le texte affiché ci-dessous a été traduit automatiquement à partir d'une autre langue à l'aide d'un outil de traduction tiers.


Anatomie d’un muet lance-phish: Frapper les bibliothécaires pour Zelle, CashApp cash

Feb 21, 2020 12:42 AM ET

Les bibliothécaires sentent quelque chose de phishy dans l’arnaque qui gratté les e-mails du site Web de l’association.Anatomy of a dumb spear-phish: Hitting librarians up for Zelle, CashApp cash

Voici un indice pour les fraudeurs financiers Internet soi-même: ne ciblez pasles bibliothécaires . Ils vont s’accrocher rapidement, et vous aurez perdu votre temps.

Hier, la présidente sortante du Comité des prix Alex de la Young Adult Library Services Association (et ma femme) Paula Gallagher a reçu un courriel très étrange qui prétendait être d’un collègue au sein de son système de bibliothèque qui est membre du conseil d’administration de YALSA. Le courriel demandait : « Etes-vous disponible pour effectuer une affectation au nom du conseil d’administration et vous faire rembourser? Conseillez gentiment.

Il y avait quelques choses hors de l’e-mail. Tout d’abord, alors que la première moitié de l’adresse e-mail que le message provenait correspondait à l’adresse e-mail de son collègue, le nom de domaine était très phishy: Reagan.com, un site qui offre “e-mail privé sécurisé” aux utilisateurs qui veulent “garder le président Ronald Reagan héritage vivant. L’expéditeur supposé du message était, pour le dire légèrement, pas un grand fan de l’héritage du président Reagan. (Ars a tenté de joindre les exploitants du site Reagan.com pour obtenir des commentaires, mais ils sont très soucieux de leur vie privée.)

Want a trusted domain name to send your spear-phish emails from for just $33 a year? Look no further.

Il y avait d’autres racontes. L’e-mail est venu à la boîte aux lettres personnelle ma femme avait spécifiquement mis en place pour son travail de comité (qui avait été publié sur le site Web de YALSA) et non pas son adresse électronique de bibliothèque interne. Et la grammaire et la majuscule, ainsi que le ton de l’e-mail, ne correspondaient pas à celle de son collègue. En plus, elle est mariée avec moi, donc elle peut sentir un phish à un kilomètre.

Elle a ignoré le message jusqu’à ce qu’un autre membre du comité lui ait tendu la main après avoir répondu à un message identique. La «affectation» s’est avéré être une arnaque de paiement manuel, et il est venu d’une nouvelle adresse e-mail-“presidentnewboxmailme [at]gmail.com”:

Souhaitez-vous aider à payer un marchand et se faire rembourser par [nom du président financier du conseil]? [Il] n’est pas disponible aujourd’hui pour des raisons de santé, mais a promis un remboursement rapide avant vendredi. C’est impératif et c’est 6 980 $. J’ai pu envoyer 4000 $ de ma limite d’épargne quotidienne. Revenez à moi si vous pouvez envoyer les 2 980 $ restants via Zelle et CashApp. Il s’agit du Symposium 2020 de notre YALSA sur les services aux jeunes adultes.

Sachant que Paula a travaillé avec l’expéditeur présumé du message, le destinataire lui a transmis le message et lui a demandé : « Semble sommaire… a-t-il été piraté ? Bientôt, d’autres ont sonné dans un chat de groupe qu’ils avaient reçu des messages suspects similaires.

Personne n’est tombé amoureux du phish.

Prenez l’argent et courez

Zelle, CashApp, et d’autres applications de paiement peer-to-peer sont devenus une nouvelle plate-forme préférée pour les escroqueries financières. Contrairement aux paiements par carte de crédit, il y a peu de prévention de la fraude sur ces plateformes de paiement, c’est comme de l’argent comptant. Une fois qu’un paiement a été effectué, il n’y a aucun moyen réel de les dénouer.

Cette attaque, qui vise les membres d’une association à but non lucratif, n’est que la dernière ride de cette tendance, empruntant les tactiques, sinon la précision, des attaques ciblées de gros dollars contre les entreprises. Les attaques de « chasse à la baleine » et les opérations similaires de « spear-phishing » ciblent des cadres ou des gestionnaires de haut niveau, en utilisant des messages urgents pour tromper les gens qui ont accès aux fonds de l’entreprise en les faisant transférer par câble à un « fournisseur » en raison d’une question urgente ou pour exposer des informations (comme lesemployés W-2)qui peuvent être utilisées pour d’autres fraudes financières.

Les entreprises ont de plus en plus pris sur les escroqueries-grâce à une combinaison de formation, un meilleur filtrage du courrier, et le contrôle des systèmes financiers. Mais les associations et autres organismes à but non lucratif— qui ont peut-être à la fois un peu moins d’argent et un peu moins dans la voie de l’informatique centralisée — sont maintenant apparemment ciblés en raison de leur nature. Ils ont des sites Web très publics dans le cadre de leur mission de sensibilisation, rempli avec les noms et adresses e-mail de personnes prêtes à faire beaucoup de choses pour la mission de l’organisation, y compris atteindre pour leurs propres portefeuilles.

Compte tenu de la quantité de données disponibles sur les contacts des gens grâce à des sites Web d’organisation, comme LinkedIn, Facebook, et d’autres sources Internet publiques, ces types d’escroqueries sont susceptibles de gagner plus de popularité que d’autres (comme les escroqueries romance qui ont coûté aux victimes plus de 200 millions de dollars en 2019, selon la Federal Trade Commission) perdre leur efficacité. Jusqu’à ce que Zelle, CashApp et d’autres fournisseurs de paiement peer-to-peer offrent un moyen d’aider à repérer les comptes frauduleux, ils continueront d’être une cible populaire.

Si vous avez besoin de plus de conseils sur la repérage de ces types d’escroqueries … il suffit de demander à un bibliothécaire.

Contact Information:

SEAN GALLAGHER
Tags:   French, United States, Wire