Video: Pippi im Schwimmbad: Offenbar passiert es nicht nur im Babybecken (Oktober 2024)
Barn som går rundt i nisser og vampyrdrakter, skremmer meg ikke på halloween, og heller ikke skumle filmer på TV. Så hva er det skumleste som skjedde så langt i dag? Det var en telefonsamtale .
I følge nummerpresentanten var dette et lokalt nummer. Da vi svarte, identifiserte en mannlig stemme seg som å ringe fra "Kings County Sheriff's Office" og ba om et familiemedlem. Da vi forklarte at hun ikke var tilgjengelig, ble vi fortalt at det var en utestående garanti for familiemedlemmet mitt. Vi ble også fortalt at dette familiemedlemmet skulle bli arrestert i løpet av de neste 45 minuttene, på grunn av utestående føderale skatter fra 2010.
Vi er alltid villige til å samarbeide, innen grunn, så vi ba om mer informasjon. Etter å ha gitt oss et telefonnummer og navnet på personen vi skulle snakke med på det føderale regjeringskontoret, overførte innringeren oss til det nummeret. Den føderale agenten som svarte på telefonen hevdet at hvis vi ville løse dette med en gang, ville vi måtte oppgi et mobiltelefonnummer. Personen var ikke veldig fornøyd da vi nektet, og fortsatte å gjenta at vår manglende samarbeid betydde at dette familiemedlemmet ble arrestert i løpet av 45 minutter.
Skummelt? En liten bit.
Røde flagg rikelig
Langvarige lesere av SecurityWatch ville med en gang lagt merke til noen av de røde flaggene som indikerte at dette var en svindel, og ikke en virkelig samtale. La oss gå gjennom dem.
1. Innbyggere i New York vet at vi ikke har et "Kings County Sheriffs Office." Vi har NYPD. Imidlertid har vi faktisk et lensmannskontor, og det håndterer skatteunndragelsesproblemer, men som den vennlige talspersonen ved lensmannskontoret sa til meg i dag, gjør ikke kontoret noe med den føderale regjeringen. Sheriff's Office behandler bare saker for lokale skatter, og til og med det er ikke en stor del av deres vanlige caseload, sa han.
2. Den som ringer fortsatte å si "føderal regjering" - ikke skattemyndighetene. Ikke Internal Revenue Service. Prøv igjen, kompis.
3. Rettshåndhevelse ringer ikke og sier "betale opp, ellers vil vi arrestere deg." Ikke bare ville de ikke ringe meg hjemme først, men de vil heller ikke gi meg muligheten til å få dette til å forsvinne først. Som min nye kompis på Sheriff's Office sa: "Det er ikke slik systemet fungerer." Hvis det virkelig var en arrestordre, ville arrestasjonen først skje, og da vil det være mulighet for å fikse det. Vanligvis med en dommer.
4. Tidspresset for å "handle på 45 minutter" var helt klart en sosialteknisk taktikk for å skape en høytrykkssituasjon, sa Robert Hansen, White Hat Securitys side. Dette ligner litt på typen ransomware og scareware-svindel vi har snakket om tidligere, der de skaper en følelse av press, og hvis vi ikke tar noe med en gang, vil noe ille skje. I tilfeller av CryptoLocker og andre typer ransomware, kan skadelig programvare faktisk utføre trusselen.
5. Jeg nevnte ikke dette i ovennevnte sammendrag, men vi ble fortalt at vi kom til å bli overført til å snakke med "Michael Black." Likevel da han svarte, sa han: "Dette er Khan." Da vi ba om Michael Black, sa han: "Det er det samme." Du vet, hvis du skal utføre en svindeloperasjon, få navnene dine rett.
Da jeg nevnte for Sheriff's Office-talsperson den som ringer hevdet at det forfalte beløpet var $ 1798, lo han og sa: "Det er folk som skylder tonn mer enn det og ikke blir arrestert."
Husk at hvis det virkelig var et spørsmål om forfalte skatter, ville skattemyndighetene eller en hvilken som helst statlig enhet for noen form for problem egentlig sende et brev med posten. Og følg opp på mail. Den innledende samtalen ville ikke komme fra rettshåndhevelse.
"Du får ikke en arrestordre. Du får bare mye e-post, " sa Chester Wisniewski fra Sophos til meg.
Svindlerne ville at vi skulle handle raskt, og var gale at vi ikke gjorde det. De nevnte stadig hvordan det ville være vår skyld om arrestasjonen skjedde. I dette tilfellet, og jeg håper virkelig jeg har rett, er det lite sannsynlig at en arrestasjon snart vil skje.
Ikke få panikk. Synes at.
Det hjalp at vi ikke fikk panikk og falt i fellen med å tenke at vi måtte gjøre noe med en gang, fordi vi klarte å oppdage andre flagg.
"Sannsynligvis er den beste måten å reagere på å slappe av først, " anbefalte Hansen.
Vi krevde informasjon. De hadde ikke så mye, og fortsatte å insistere på et mobiltelefonnummer. Etter hvert ba de om en e-postadresse. Har ikke sett noe i innboksen ennå, men så snart den kommer, kan du være sikker på at jeg sender den til pålitelige eksperter for å finne ut hva den har.
"Ikke stol på noe som kommer til deg som du ikke vet hvor det kommer fra, " sa Wisniewski. "Hold på, og ring banken, regjeringen, hvem personen enn er, og bekreft at dette er ekte." Hvis dette var en legitim ansatt fra et selskap, eller et medlem av rettshåndhevelse, vil de øyeblikkelig gi nødvendig informasjon, for eksempel navn, utvidelse og merkenummer, slik at du kan bekrefte hvem de er.
Den samme regelen gjelder hvis dette skjedde via e-post i stedet for en telefonsamtale. Ikke klikk på lenken, men gå direkte til organisasjonssiden og se om du kan få flere detaljer.
Vi ringte øyeblikkelig skattemyndighetene - ikke med nummeret den som ringte oss, men ved å slå den opp på IRS.gov - og også lensmannskontoret. Da vi ringte lensmannskontoret, sa talspersonen med en gang at vi ikke var de første som rapporterte om svindelen.
Du bør også prøve å samle så mye informasjon som mulig om den som ringer, slik at du kan rapportere den til den virkelige rettshåndhevelsen. Vi fikk personens "navn" - både fornavn og etternavn - og telefonnummer. Vi klarte ikke å få flere detaljer, for eksempel tittelen, merkets nummer, avdelingen de jobber på, kodenummeret / saksnummeret de jobber fra osv.
"Stol på tarmen din. Hvis samtalen ikke virker riktig, må du stole på den følelsen, " sa Wisniewski. Han bemerket også at det å høre en indisk aksent i disse situasjonene vanligvis setter ham på vakt på grunn av svindel fra tidligere (som Microsoft-svindel fra supporten) som stammer fra indiske kundesentre. Jeg sier ikke at alle indiske aksenter er mistenkte (hele familien har aksent), eller at ikke-aksenterte innringere alltid er legitime. Men vurder at det har vært mange mistenkelige samtaler i det siste, og det er en ting å ta i betraktning hvis du føler deg mistenksom.
Hva var sluttspillet?
Jeg beskrev hele svindelen til Wisniewski, og han ble fascinert og sa at dette hørtes ut som en ny type svindel. Jeg er nysgjerrig på hva sluttspillet var. Var mobiltelefonnummeret slik at de kunne SMS meg en lenke til betalingsportalen? Hvorfor ba de ikke om kredittkortnummer?
Dette kunne ha vært et forsøk på å registrere meg til et premium-rate-nummer der jeg ville bli fakturert for tjenester som Joke-of-the-Day, men det virker som den som ringer tok mye risiko med denne tilnærmingen, bemerket Wisniewski. Dette kunne også vært et forsøk på å sende ut SMS-spam.
Det er mulig de opprinnelig prøvde å nå familiemedlemmet mitt direkte for å få identifiserbar informasjon som personnummer og kredittkortinformasjon, foreslo NetIQs Geoff Webb. Siden personen ikke svarte på telefonen, byttet de til å "proppe" meg, der de ville legge falske anklager til mobiltelefonregningen, spekulerte Webb.
Jeg har ingen andre ideer. Hvis noen har ideer til hva denne svindelen kan handle om, vil @securitywatch gjerne se tipsene.
