Vídeo: Mortal Kombat 11 - Characters Compliment Each Other (Setembre 2024)
Els nens que es passegen amb vestits de goblins i vampirs no em fan por Halloween, ni fan pel·lícules a la televisió. Quin és el més espantós que ha passat fins ara? Era una trucada telefònica .
Segons l'identificador de trucada, es tractava d'un número local. Quan vam respondre, una veu masculina es va identificar com trucada des de la "oficina del xerife del Comtat de Kings" i va demanar un membre de la meva família. Quan vam explicar que no estava disponible, se'ns va dir que hi havia una garantia pendent per al meu membre de la família. També se'ns va dir que aquest membre de la família seria arrestat en els propers 45 minuts, a causa dels impostos federals pendents del 2010.
Sempre estem disposats a cooperar, dins de la raó, per la qual cosa vam demanar més informació. Després d’haver-nos donat un número de telèfon i el nom de la persona amb qui hauríem de parlar a l’oficina del govern federal, la persona que truca ens va traslladar a aquest número. L’agent federal que va respondre el telèfon va reclamar que si volíem resoldre’l immediatament, hauríem de proporcionar un número de telèfon mòbil. La persona no es va complaure gaire quan ens vam negar, i va repetir que la nostra falta de cooperació significava que aquest membre de la família seria arrestat en 45 minuts.
Espantós? Una mica.
Banderes vermelles aplicables
Els lectors de molt de temps de SecurityWatch haurien notat de seguida alguns dels indicadors vermells que indicaven que era una estafa i no una trucada real. Caminem per ells.
1. Els residents de la ciutat de Nova York saben que no tenim cap "Oficina dels Xerifs del Comtat de Kings". Tenim la NYPD. Tanmateix, en realitat tenim una oficina del xerife, i també s’ocupa de les qüestions d’evasió fiscal, però segons em va dir avui l’amable portaveu de l’oficina del xerif, l’oficina no fa res amb el govern federal. L’Oficina del Xerife gestiona només casos per impostos locals, i fins i tot això no és una gran part de la seva cobertura normal, va dir.
2. La persona que trucava deia "govern federal": no l'IRS. No el servei d’ingressos interns. Torna-ho a provar, amic.
3. L'aplicació de la llei no crida i no diu "pagueu o us arrestarem". No només no em cridarien a casa primer, sinó que tampoc em donaran l’oportunitat de fer que això se’n vagi en primer lloc. Tal com va dir el meu nou company a l’oficina del xerife, "No és així com funciona el sistema". Si realment hi hagués una ordre, l'arrest es produiria primer, i hi haurà l'oportunitat de solucionar-ho. Normalment amb un jutge.
4. La pressió del temps per "actuar en 45 minuts" era clarament una tàctica d'enginyeria social per crear una situació d'alta pressió, va dir Robert Hansen, de White Hat Security. Aquesta és una mica semblant al tipus d’estafes de ransomware i scareware de què hem parlat en el passat, on creen una sensació d’urgència i, si no prenem mesures immediatament, passarà alguna cosa dolenta. En els casos de CryptoLocker i altres tipus de ransomware, el programari maliciós podria comportar l'amenaça.
5. No el vaig esmentar al resum anterior, però ens van dir que ens transferirien per parlar amb "Michael Black". Però quan va respondre, va dir: "Això és Khan". Quan vam preguntar per Michael Black, va dir: "És el mateix". Ja sabeu, si voleu executar una operació de estafa, feu els vostres noms directes.
Quan vaig parlar al portaveu de l'Office del Xerife, la persona que trucava va reclamar que l'import degut era de 1.798 dòlars, va riure i va dir: "Hi ha gent que deu tones més que això i no és arrestat".
Recordeu-vos, si realment hi hagués algun problema d’impostos vençuts, l’IRS o qualsevol entitat governamental per algun tipus de problema realment, primer enviarien una carta per correu postal. I seguiment per correu. La primera trucada no provindria de l'aplicació de la llei.
"No teniu cap mandat d'arrest. Només rebeu molts correus", em va dir Chester Wisniewski, de Sophos.
Els estafadors volien que actuéssim ràpidament, i estàvem bojos que no. Continuaven esmentant com seria la nostra culpa si es produís la detenció. En aquest cas, i espero realment que tingui raó, és poc probable que es produeixi una detenció aviat.
No pànic. Pensar.
Va ajudar a no entrar en pànic i caure en el parany de pensar que havíem de fer alguna cosa de seguida, ja que vam poder detectar altres banderes.
"Probablement la millor manera de reaccionar és relaxar-se primer", va recomanar Hansen.
Vam demanar informació. No tenien gaire cosa i van insistir en un número de telèfon mòbil. Finalment, van demanar una adreça de correu electrònic. Encara no he vist res a la meva safata d'entrada, però tan aviat com estigui segur, l'enviaré a experts de confiança per esbrinar què en té.
"No confieu en res del que us vingui i no sabeu d'on prové", va dir Wisniewski. "Pengeu i truqueu al banc, al govern, sigui qui sigui la persona i verifiqueu que això és real". Si es tractava d’un empleat legítim d’una empresa o d’un membre de l’aplicació de la llei, proporcionaran immediatament la informació necessària, com ara el nom, l’extensió i el número de la insígnia, per tal de comprovar qui són.
La mateixa regla s'aplica si això passava per correu electrònic en lloc d'una trucada telefònica. No feu clic a l’enllaç, sinó que aneu directament al lloc de l’organització i vegeu si en podeu obtenir més detalls.
De seguida vam trucar a l’IRS –no amb el número que ens va donar la persona que trucava, sinó si el vam cercar a IRS.gov– i també a l’oficina del xerif. De fet, quan vam trucar a l’oficina del xerife, el portaveu va dir immediatament que no érem els primers que vam denunciar aquesta estafa.
També heu d’intentar reunir la màxima informació possible sobre la persona que truca per tal que la pugueu informar a l’ordenat real. Vam obtenir el "nom" de la persona -tot el nom i cognoms- i el número de telèfon. No hem pogut obtenir més detalls, com ara el títol, el número de la insígnia, el departament on treballen, el número de cas / número de cas del qual treballen, etc.
"Confia en el teu intestí. Si la trucada no sembla correcta, confia en aquest sentiment", va dir Wisniewski. També va assenyalar que, en aquestes situacions, escoltar un accent indi generalment el posa en guàrdia a causa de les estafes passades (com la estafa de suport de Microsoft) originades en centres de trucada indis. No dic que tots els accents indis siguin sospitosos (tota la meva família té accent) o que les persones que no tinguin accent són sempre legítimes. Però considereu que hi ha hagut moltes trucades sospitoses recentment i és una cosa que cal considerar si se sospita.
Què va ser el joc final?
Vaig descriure tota l’estafa a Wisniewski i em va intrigar, dient que això semblava un nou tipus d’estafa. Tinc curiositat sobre com va ser el joc final. Hi havia el número de telèfon mòbil perquè em poguessin enviar un enllaç al portal de pagaments? Per què no van demanar un número de targeta de crèdit?
Podria haver estat un intent de donar-me d'alta a un número de tarifes primeres on em rebran factura per serveis com ara broma del dia, però sembla que la persona que truca estava assumint molts riscos amb aquest plantejament, va assenyalar. Wisniewski. Podria haver estat un intent d’enviament de correu brossa per SMS.
És possible que originalment tractessin d’arribar al membre de la meva família directament per obtenir informació identificable com ara el número de seguretat social i la informació de la targeta de crèdit, va suggerir el Geoff Webb de NetIQ. Com que la persona no va respondre el telèfon, va passar a "embrutar-me", on afegirien càrrecs falsos a la factura del telèfon mòbil, va especular Webb.
No tinc altres idees. Si algú té idees sobre què pot tractar aquesta estafa, @securitywatch estarà encantat de veure els consells.
