Недавно предприниматель и инвестор Марк Кьюбан, чей чистый капитал составляет 5,4 миллиарда долларов, сообщил, что его аккаунт Gmail был взломан после звонка от злоумышленника, выдававшего себя за сотрудника Google. Как рассказал Кьюбан в своем сообщении на платформе X, мошенник, представившийся как “Ной”, позвонил ему и объяснил, что кто-то пытался получить доступ к его аккаунту. После этого злоумышленник провел Кьюбана через якобы процедуру восстановления аккаунта Google.
Номер телефона, который использовал мошенник оказался рабочим номером для Google Assistant. Рэйчел Тобак, генеральный директор SocialProof Security, заявила, что изменение идентификатора вызывающего абонента "занимает меньше минуты и может быть выполнено с помощью приложений, доступных в App Store".
Тобак объяснила IT Brew, что мошенники используют утечки данных или сайты-посредники данных для поиска номера жертвы. Затем они подделывают номер звонящего, чтобы он выглядел как номер службы поддержки, и убеждают жертву пройти шаги для восстановления учетной записи. На этом этапе жертва может передать мошеннику конфиденциальную информацию, такую как пароль или код многофакторной аутентификации. Эти атаки могут быть очень убедительными, поэтому пользователям важно быть осведомленными в области кибербезопасности.
Тобак также отметила, что наблюдается рост числа телефонных атак, так как киберпреступники находят новые способы обойти улучшенные средства защиты от атак по электронной почте. Она подчеркнула, что для предотвращения таких атак телекоммуникационные компании должны внедрить стандарты идентификации вызывающего абонента, такие как Stir/Shaken, предложенные Рабочей группой по разработке Интернета (IETF).
Чтобы защитить себя от подобных атак, Тобак советует пользователям всегда перезванивать напрямую в организацию, от имени которой якобы звонили, чтобы проверить подлинность звонка.
Она также подчеркнула важность осознания того, что идентификатор вызывающего абонента не всегда можно доверять. Пользователи должны быть бдительными и использовать альтернативные способы связи для проверки подлинности сообщений и звонков от таких компаний, как Google, Apple, Microsoft, или их банков.
Учитывая изощренность таких атак, важно
обучать сотрудников основам кибербезопасности. Ваши сотрудники должны знать, как распознать и правильно реагировать на подобные угрозы, чтобы защитить ваши данные и учетные записи.