Video: Bouncers Share Secrets About Getting Into Bars (Oktober 2024)
Børn, der går rundt i nisser og vampyrdragter, skræmmer mig ikke på Halloween, og heller ikke skræmmende film på tv. Så hvad er det mest uhyggelige, der skete hidtil i dag? Det var et telefonopkald .
I henhold til nummeropkalds-ID var dette et lokalt nummer. Da vi svarede, identificerede en mandlig stemme sig som at ringe fra "Kings County Sheriff's Office" og bad om et medlem af min familie. Da vi forklarede, at hun ikke var tilgængelig, fik vi at vide, at der var en udestående garanti for mit familiemedlem. Vi fik også at vide, at dette familiemedlem skulle arresteres i de næste 45 minutter på grund af udestående føderale skatter fra 2010.
Vi er altid villige til at samarbejde inden fornuft, så vi bad om mere information. Efter at have givet os et telefonnummer og navnet på den person, vi skulle tale med på det føderale regerings kontor, overførte den, der ringer os til dette nummer. Den føderale agent, der besvarede telefonen, hævdede, at hvis vi ville løse dette med det samme, ville vi skulle give et mobiltelefonnummer. Personen var ikke meget tilfreds, da vi nægtede, og gentog fortsat, at vores manglende samarbejde betød, at dette familiemedlem ville blive arresteret på 45 minutter.
Skræmmende? En lille smule.
Røde flag rig
Længe læsere af SecurityWatch ville med det samme have bemærket nogle af de røde flag, der indikerer, at dette var en fidus og ikke et rigtigt opkald. Lad os gå gennem dem.
1. New York City-beboere ved, at vi ikke har et "Kings County Sheriffs Office." Vi har NYPD. Imidlertid har vi faktisk et sheriffkontor, og det håndterer skatteunddragelsesspørgsmål, men som den venlige talsmand ved sheriffens kontor fortalte mig i dag, gør kontoret ikke noget med den føderale regering. Sheriff's Office håndterer kun sager for lokale skatter, og selv det er ikke en stor del af deres normale caseload, sagde han.
2. Opkalderen sagde fortsat "føderal regering" - ikke IRS. Ikke Internal Revenue Service. Prøv igen, kammerat.
3. Retshåndhævelse ringer ikke og siger "betale, ellers vil vi arrestere dig." Ikke kun ville de ikke ringe til mig først hjemme, men de vil heller ikke give mig muligheden for at få dette til at forsvinde først. Som min nye ven på Sheriff's Office sagde: "Det er ikke sådan, systemet fungerer." Hvis der virkelig var en arrestordre, ville arrestationen først ske, og så vil der være mulighed for at ordne det. Normalt med en dommer.
4. Tidspresset for at "handle på 45 minutter" var helt klart en socialteknisk taktik for at skabe en højtrykssituation, sagde White Hat Securitys Robert Hansen. Dette svarer lidt til den slags ransomware og scareware-svindel, vi har talt om tidligere, hvor de skaber en følelse af presserende karakter, og hvis vi ikke griber ind med det samme, sker der noget dårligt. I tilfælde af CryptoLocker og andre typer ransomware kan malware muligvis faktisk udføre truslen.
5. Jeg nævnte ikke dette i ovennævnte resume, men vi fik at vide, at vi ville blive overført til at tale med "Michael Black." Men da han svarede, sagde han: "Dette er Khan." Da vi bad om Michael Black, sagde han, "Det er det samme." Du ved, hvis du vil køre en fidus, skal du få dine navne lige.
Da jeg nævnte til Sheriff's Office-talsmand, hævdede den opkaldte, at det skyldige beløb var $ 1.798, lo han og sagde: "Der er mennesker, der skylder tonsvis mere end det og ikke arresteres."
Husk, at hvis der virkelig var et spørgsmål om forfaldne skatter, ville IRS eller en hvilken som helst regeringsenhed for nogen form for problem virkelig sende et brev med posten. Og følg op via mail. Det første opkald kommer ikke fra retshåndhævelse.
"Du får ikke en arrestordre. Du får bare meget mail, " fortalte Chester Wisniewski fra Sophos.
Svindlerne ville have, at vi skulle handle hurtigt, og var gale af, at vi ikke gjorde det. De sagde fortsat, hvordan det ville være vores skyld, hvis arrestationen skete. I dette tilfælde, og jeg håber virkelig, at jeg har ret, er det usandsynligt, at en arrestation snart vil ske.
Gå ikke i panik. Tænke.
Det hjalp, at vi ikke fik panik og faldt i fælden med at tænke, at vi måtte gøre noget med det samme, fordi vi var i stand til at registrere andre flag.
”Sandsynligvis er den bedste måde at reagere på at slappe af først, ” anbefalede Hansen.
Vi krævede information. De havde ikke meget, og blev ved med at insistere på et mobiltelefonnummer. Til sidst bad de om en e-mail-adresse. Har ikke set noget i min indbakke endnu, men så snart det ankommer, kan du være sikker på, at jeg sender det til betroede eksperter for at finde ud af, hvad det har.
”Stol ikke på noget, der kommer til dig, som du ikke ved, hvor det kommer fra, ” sagde Wisniewski. "Hæng, og ring banken, regeringen, uanset hvem personen er, og kontroller, at dette er ægte." Hvis dette var en legitim medarbejder fra et firma eller et medlem af retshåndhævelse, vil de straks give de nødvendige oplysninger, såsom navn, lokalnummer og badge-nummer, så du kan bekræfte, hvem de er.
Den samme regel gælder, hvis dette skete via e-mail i stedet for et telefonopkald. Klik ikke på linket, men gå direkte til organisationssitet og se, om du kan få flere detaljer.
Vi ringede straks til IRS - ikke med det nummer, den opkaldte gav os, men ved at slå det op på IRS.gov - og også Sheriff's Office. Faktisk, da vi ringede til sheriffens kontor, sagde talsmanden straks, at vi ikke var de første, der rapporterede denne fidus.
Du skal også prøve at samle så meget information som muligt om den, der ringer, så du kan rapportere det til den rigtige retshåndhævelse. Vi fik personens "navn" - både fornavnet og efternavnet - og telefonnummeret. Vi kunne ikke få flere detaljer, f.eks. Deres titel, deres badge-nummer, den afdeling, de arbejder på, kodenummer / sagsnummer, de arbejder fra osv.
"Stol på din tarm. Hvis opkaldet ikke synes korrekt, skal du stole på den følelse, " sagde Wisniewski. Han bemærkede også, at hørelse af en indisk accent i disse situationer generelt sætter ham på vagt på grund af tidligere svindel (såsom Microsoft-support-svindel), der stammer fra indiske callcenter. Jeg siger ikke, at alle indiske accenter er mistænkte (hele min familie har en accent), eller at ikke-accentopkaldere altid er legitime. Men overvej, at der for nylig har været en masse mistænkelige opkald, og det er en ting at overveje, hvis du føler dig mistænksom.
Hvad var slutspilet?
Jeg beskrev hele fiduset til Wisniewski, og han var fascineret og sagde, at dette lød som en ny type fidus. Jeg er nysgerrig efter, hvad slutspillet var. Var mobiltelefonnummeret, så de kunne sende mig et link til betalingsportalen? Hvorfor bad de ikke om et kreditkortnummer?
Dette kunne have været et forsøg på at tilmelde mig et premium-satsnummer, hvor jeg ville blive faktureret for tjenester som Joke-of-the-Day, men det ser ud til, at den, der ringer, tog en masse risici med denne tilgang, bemærkede Wisniewski. Dette kunne også have været et forsøg på at sende SMS-spam.
Det er muligt, at de oprindeligt forsøgte at nå mit familiemedlem direkte for at få identificerbare oplysninger, såsom personnummer og kreditkortoplysninger, foreslog NetIQs Geoff Webb. Da personen ikke svarede på telefonen, skiftede de derefter til at "proppe" mig, hvor de ville tilføje falske afgifter til mobiltelefonregningen, spekulerede Webb.
Jeg har ingen andre ideer. Hvis nogen har ideer til, hvad denne fidus kan handle om, vil @securitywatch være glad for at se tipene.
