Video: Tu Primo (Del WhatsApp) - Mozthaza (Noviembre 2024)
Los niños que caminan con disfraces de duendes y vampiros no me asustan en Halloween ni hacen películas de miedo en la televisión. Entonces, ¿qué es lo más aterrador que sucedió hasta ahora hoy? Fue una llamada telefónica .
Según el identificador de llamadas, este era un número local. Cuando respondimos, una voz masculina se identificó como llamada de la "Oficina del Sheriff del Condado de Kings" y pidió un miembro de mi familia. Cuando le explicamos que no estaba disponible, nos dijeron que había una orden de arresto pendiente para mi familiar. También nos dijeron que este miembro de la familia iba a ser arrestado en los próximos 45 minutos, debido a los impuestos federales pendientes de 2010.
Siempre estamos dispuestos a cooperar, dentro de lo razonable, por lo que solicitamos más información. Después de darnos un número de teléfono y el nombre de la persona con la que deberíamos hablar en la oficina del gobierno federal, la persona que nos llamó nos transfirió a ese número. El agente federal que contestó el teléfono afirmó que si queríamos resolver esto de inmediato, tendríamos que proporcionar un número de teléfono celular. La persona no estaba muy contenta cuando nos negamos, y seguía repitiendo que nuestra falta de cooperación significaba que este miembro de la familia sería arrestado en 45 minutos.
¿De miedo? Un poco.
Banderas rojas abundantes
Los lectores de hace mucho tiempo de SecurityWatch habrían notado de inmediato algunas de las banderas rojas que indican que se trataba de una estafa, y no una llamada real. Pasemos por ellos.
1. Los residentes de la ciudad de Nueva York saben que no tenemos una "Oficina del Sheriff del Condado de Kings". Tenemos la policía de Nueva York. Sin embargo, en realidad tenemos una Oficina del Sheriff, y maneja los problemas de evasión de impuestos, pero como me dijo hoy el amable portavoz de la Oficina del Sheriff, la oficina no hace nada con el gobierno federal. La Oficina del Sheriff maneja solo casos de impuestos locales, e incluso eso no es una gran parte de su carga de trabajo normal, dijo.
2. La persona que llamaba decía "gobierno federal", no el IRS. No es el Servicio de Impuestos Internos. Inténtalo de nuevo, amigo.
3. La policía no llama y dice "paga o te arrestaremos". No solo no me llamarían a casa primero, sino que tampoco me darían la oportunidad de hacer que esto desaparezca primero. Como dijo mi nuevo amigo en la Oficina del Sheriff: "Así no es como funciona el sistema". Si realmente hubiera una orden judicial, el arresto ocurriría primero, y luego habrá la oportunidad de arreglarlo. Usualmente con un juez.
4. La presión del tiempo para "actuar en 45 minutos" fue claramente una táctica de ingeniería social para crear una situación de alta presión, dijo Robert Hansen de White Hat Security. Esto es un poco similar al tipo de estafas de ransomware y scareware de las que hemos hablado en el pasado, donde crean una sensación de urgencia, y si no actuamos de inmediato, algo malo sucederá. En los casos de CryptoLocker y otros tipos de ransomware, el malware podría llevar a cabo la amenaza.
5. No mencioné esto en el resumen anterior, pero nos dijeron que nos iban a transferir para hablar con "Michael Black". Sin embargo, cuando respondió, dijo: "Este es Khan". Cuando preguntamos por Michael Black, dijo: "Es lo mismo". Ya sabes, si vas a ejecutar una operación de estafa, aclara tus nombres.
Cuando le mencioné al portavoz de la Oficina del Sheriff que la persona que llamó afirmó que el monto adeudado era de $ 1, 798, se rió y dijo: "Hay personas que deben mucho más que eso y no son arrestados".
Recuerde, si realmente hubiera un problema de impuestos vencidos, el IRS o cualquier entidad gubernamental por algún tipo de problema realmente, primero enviaría una carta por correo postal. Y seguimiento por correo. La llamada inicial no vendría de la policía.
"No se obtiene una orden de arresto. Simplemente se recibe mucho correo", me dijo Chester Wisniewski de Sophos.
Los estafadores querían que actuaramos rápidamente, y estaban enojados porque no lo hicimos. Seguían mencionando cómo sería nuestra culpa si ocurriera el arresto. En este caso, y realmente espero tener razón, es poco probable que ocurra un arresto en el corto plazo.
No se asuste Pensar.
Ayudó que no nos asustáramos y cayáramos en la trampa de pensar que teníamos que hacer algo de inmediato, porque pudimos detectar otras banderas.
"Probablemente la mejor manera de reaccionar es relajarse primero", recomendó Hansen.
Exigimos información. No tenían mucho y seguían insistiendo en un número de teléfono celular. Finalmente pidieron una dirección de correo electrónico. Todavía no he visto nada en mi bandeja de entrada, pero tan pronto como llegue, tenga la seguridad de que lo enviaré a expertos de confianza para averiguar qué tiene.
"No confíes en nada de lo que viene a ti que no sabes de dónde viene", dijo Wisniewski. "Cuelgue y llame al banco, al gobierno, sea quien sea la persona, y verifique que esto sea real". Si se trataba de un empleado legítimo de una empresa, o un miembro de la policía, proporcionarán de inmediato la información necesaria, como el nombre, la extensión y el número de identificación, para que pueda verificar quiénes son.
La misma regla se aplica si esto sucedió por correo electrónico en lugar de una llamada telefónica. No haga clic en el enlace, sino que vaya directamente al sitio de la organización y vea si puede obtener más detalles.
Inmediatamente llamamos al IRS, no con el número que nos dio la persona que llama, sino buscándolo en IRS.gov, y también con la Oficina del Sheriff. De hecho, cuando llamamos a la Oficina del Sheriff, el portavoz dijo de inmediato que no fuimos los primeros en informar esta estafa.
También debe tratar de recopilar la mayor cantidad de información posible sobre la persona que llama para poder informarlo a la policía real. Obtuvimos el "nombre" de la persona, tanto el nombre como el apellido, y el número de teléfono. No pudimos obtener más detalles, como su título, su número de placa, el departamento en el que trabajan, el número de expediente / número de caso desde el que trabajan, etc.
"Confía en tu instinto. Si la llamada no parece correcta, confía en ese sentimiento", dijo Wisniewski. También señaló que en estas situaciones, escuchar un acento indio generalmente lo pone en guardia debido a estafas pasadas (como la estafa de soporte técnico de Microsoft) originadas en centros de llamadas indios. No digo que todos los acentos indios sean sospechosos (toda mi familia tiene acento), o que las personas que llaman sin acento son siempre legítimas. Pero considere que ha habido muchas llamadas sospechosas recientemente y es una cosa a tener en cuenta si se siente sospechoso.
¿Cuál fue el juego final?
Le describí toda la estafa a Wisniewski y él estaba intrigado, diciendo que esto sonaba como un nuevo tipo de estafa. Tengo curiosidad por saber cuál fue el juego final. ¿Era el número de teléfono celular para que me pudieran enviar un enlace al portal de pago? ¿Por qué no pidieron un número de tarjeta de crédito?
Esto podría haber sido un intento de inscribirme en un número de tarifa premium donde me facturarían por servicios como Broma del día, pero parece que la persona que llama estaba tomando muchos riesgos con este enfoque, señaló Wisniewski. Esto podría haber sido un intento de enviar mensajes SMS no deseados también.
Es posible que originalmente trataran de comunicarse directamente con un miembro de mi familia para obtener información identificable, como el número de seguro social y la información de la tarjeta de crédito, sugirió Geoff Webb de NetIQ. Como la persona no contestó el teléfono, cambiaron a "abarrotarme", donde agregarían cargos falsos a la factura del teléfono celular, especuló Webb.
No tengo otras ideas Si alguien tiene ideas sobre de qué se trata esta estafa, @securitywatch estará encantado de ver los consejos.
