제퍼넷 로고

거래 요령: 사이버 범죄 조직이 다단계 사기 계획을 운영한 방법 | 위라이브시큐리티

시간

사이버 범죄 작전의 내부 엿보기 및 유사한 책략의 쉬운 표적이 되지 않기 위해 할 수 있는 일

그들은 회사 이메일을 해킹하고 사람과 기업으로부터 돈을 훔치고 다른 사람들을 속여 전리품을 양도했습니다. 나이지리아 국적의 Solomon Ekunke Okpe와 Johnson Uke Obogo는 피해자에게 최대 1만 달러의 손실을 입힌 교묘한 사기 수법을 실행했습니다. ㅏ 미국 법원이 최근 선고한 듀오는 각각 XNUMX년과 XNUMX년 뒤입니다.

그들의 범죄 활동은 다음을 포함하여 다양한 사기 계획에 관여했습니다. 비즈니스 이메일 타협 (BEC), 재택 근무 사기, 수표 사기 및 신용 카드 사기 - XNUMX년 이상 전 세계 순진한 피해자를 표적으로 삼았습니다.

다음은 그들이 단점을 제거한 방법과 더 중요한 것은 유사한 계략의 희생자가 되는 것을 피할 수 있는 방법입니다.

1단계 – 이메일 계정 해킹

피해자의 이메일 계정에 액세스하기 위해 Okpe와 공모자는 수천 개의 이메일 주소와 비밀번호를 수집하는 이메일 피싱 공격을 시작했습니다. 또한 그들은 의심하지 않는 개인의 신용 카드 정보와 개인 식별 정보를 대량으로 축적했습니다.

일반적으로 가장 일반적인 유형의 피싱은 긴박감이 있고 은행, 이메일 제공업체 및 고용주와 같은 평판이 좋은 기관에서 온 공식 메시지인 것처럼 가장한 이메일을 보내는 것입니다. 거짓된 구실을 사용하고 긴박감을 불러일으키는 이러한 커뮤니케이션은 사용자를 속여 돈을 넘겨주도록 시도합니다. 로그인 자격 증명, 신용 카드 정보 또는 기타 귀중한 데이터.

자신의 계정에 침입하는 또 다른 기술은 단순히 취약한 암호를 극복하는 것입니다. 암호가 너무 짧거나 너무 단순한 문자 집합을 생각하면 사기꾼은 자동화된 도구(예: "무차별 대입")를 사용하여 쉽게 암호를 해독할 수 있습니다. 그것.

예를 들어 비밀번호가 XNUMX자이고 소문자로만 구성된 경우 자동화 도구는 몇 초 안에 추측. 복잡하지만 XNUMX자로만 구성된 암호도 빠르게 해독할 수 있습니다.

또한 해커는 종종 전용 도구의 도움 없이 매우 쉽게 추측할 수 있는 암호를 만드는 사람들의 성향을 이용합니다. 에 따르면 3TB 비밀번호 데이터베이스 보안 사고로 유출된 가장 많이 사용되는 비밀번호 30개국에 걸쳐 "비밀번호"였습니다. 두 번째는 "123456"이었고, 그 다음은 약간 더 길었지만 실제로는 그다지 좋지 않은 "123456789"였습니다. 상위 XNUMX위는 "게스트"와 "쿼티"였습니다. 이러한 로그인의 대부분은 XNUMX초 이내에 해독될 수 있습니다.

테이크아웃? 액세스 자격 증명을 쉽게 추측하거나 무차별 대입하는 것을 방지하려면 항상 길고 복잡하며 고유한 암호 또는 암호 문구를 사용하십시오.



2단계 - 비즈니스 파트너 공격

피해자의 계정에 액세스한 후 Okpe와 그의 팀은 피해자와 거래한 회사의 직원에게 이메일을 보내 범죄자, 공모자 또는 "돈 노새"가 관리하는 은행 계좌로 돈을 이체하도록 지시했습니다. 이 이메일은 피해자가 보낸 것처럼 만들었지만 Okpe와 그의 공모자들로부터 무단 송금하라는 지시였습니다.

비즈니스 이메일 손상 공격이라고 하는 이러한 공격은 스피어피싱. 일반 피싱 공격은 네트워크를 넓게 던지고 알려지지 않은 피해자를 대상으로 하는 반면, 스피어피싱은 특정 사람이나 그룹을 대상으로 합니다. 악의적인 행위자는 온라인에서 표적이 된 사람에 대해 사용할 수 있는 모든 정보를 연구하고 그에 따라 이메일을 조정합니다.

이것은 분명히 그러한 이메일을 인식하기 어렵게 만들지 만 몇 가지 분명한 이점이 있습니다. 예를 들어, 이러한 메시지는 종종 갑자기 나타나거나 긴박감을 불러일으키거나 다른 압력 전술을 사용하고 의심스러운 사이트로 연결되는 첨부 파일 또는 (축약된) URL을 포함합니다.

스피어피싱 캠페인이 귀하의 자격 증명을 훔치는 것을 목표로 하는 경우, 이중 인증 (2FA)는 귀하를 안전하게 보호하는 데 큰 도움이 될 수 있습니다. 계정에 액세스하려면 두 개 이상의 신원 확인 요소를 제공해야 합니다. 가장 인기 있는 옵션은 SMS 메시지를 통한 인증 코드와 관련이 있지만 전용 2FA 앱과 물리적 키는 더 높은 수준의 보안을 제공합니다.

직원으로서 특히 촉박한 마감일에 돈을 송금하라는 요청을 받은 경우 요청이 진짜인지 다시 한 번 확인하십시오.

3단계 – 사람들을 속여 훔친 돈을 이체하도록 합니다.

"재택 근무" 사기에서 갱단은 온라인 고용주로 위장하고 다양한 가상의 온라인 페르소나로 구직 웹사이트와 포럼에 광고를 게시했습니다. 그들은 재택 근무를 위해 미국 전역에서 많은 수의 개인을 고용하는 척했습니다.

직위가 합법적인 것으로 광고되었지만 사기꾼들은 직원들에게 그룹의 사기를 용이하게 하는 작업을 수행하도록 지시했습니다. 따라서 피해자는 은행 및 지불 처리 계좌를 만들고, 계좌에서 돈을 이체하거나 인출하고, 위조 수표를 현금으로 바꾸거나 입금하는 데 있어 자신도 모르게 사기꾼을 돕고 있었습니다.

재택근무 사기에 빠지지 않으려면 조사를 하십시오. 회사 이름, 이메일 주소, 전화번호를 찾아 회사의 행동과 관행에 대한 불만 사항이 있는지 확인하십시오. 실제로 온라인에서 일자리를 찾을 때 합법적인 구직 사이트 및 기타 신뢰할 수 있는 출처에서 시작하십시오.

더있다

또한 Okpe와 공모자 로맨스 스캠. 그들은 데이트 웹사이트에서 가상의 정체성을 만들어 사랑을 찾는 사람들과의 로맨틱한 관계에 관심이 있는 척했습니다. 피해자의 신뢰를 얻은 후 옥페 등 돈 노새로 사용 해외로 돈을 이체하고 사기 전신 송금으로 현금을 받을 수 있습니다.

많은 로맨스 스캐머는 동일한 플레이북에서 차용하여 속임수를 더 쉽게 인식하고 안전하게 유지할 수 있습니다. 다음과 같은 온라인 구혼자를 조심하십시오.

  • 피해자에게 개인적인 질문을 많이 하지만 삶에 대한 질문을 받으면 회피합니다.
  • 빨리 사랑을 고백하세요
  • 대화를 데이트 사이트에서 비공개 채팅으로 빠르게 이동
  • 직접 만나지 않거나 화상 통화에 참여하지 않은 것에 대해 복잡한 변명을 합니다.
  • 해외에서 살거나 일하는 척
  • 사진처럼 완벽한 프로필 사진을 보유하세요.
  • 여행이나 의료비, 비자, 여행 서류 등 돈이 필요한 이유에 대해 흐느끼는 이야기를 들려줍니다.

사기에 주의하세요 – 특히 원치 않는 온라인 통신에 주의를 기울이고 소문에 주의하세요 온라인 사기 징후.

spot_img

최신 인텔리전스

spot_img