Video: Watch Hong Kong Protesters Attack JPMorgan Banker (Nobyembre 2024)
Ang mga spammers ay gumagamit ng data sa JPMorganChase noong nakaraang buwan sa isang pag-atake sa phishing na naglalayong makuha ang mga biktima na ibigay ang kumpidensyal na impormasyon.
Ang isang paglabag sa data ay bihirang pagtatapos ng isang kampanya sa cyber. Ang gang sa likod ng paglabag ay maaaring gumamit ng impormasyon bilang reconnaissance upang maglunsad ng isang mas target na pag-atake, o gumawa ng pera sa pamamagitan ng pagbebenta ng ninakaw na data. Sinasamantala ng iba pang mga kriminal ang pagkalito sa isang "pag-atake sa piggyback" na gumaganap sa takot ng mga biktima sa orihinal na paglabag. Sa anumang kaso, ang mga gumagamit ay dapat manatiling alerto para sa anumang pag-sign ng mapanlinlang o kahina-hinalang aktibidad.
Noong nakaraang buwan, sinabi ng JPMorganChase na ang personal na data na kabilang sa mga 465, 000 mga card card ng UCARD, o sa ilalim lamang ng 2 porsyento ng kabuuang userbase, ay nahantad sa isang paglabag sa data. Ang UCARD, isang prepaid debit card na madalas na ginagamit ng mga negosyo at ahensya ng gobyerno upang mag-isyu ng mga refund ng buwis, kabayaran sa kawalan ng trabaho, at iba pang mga benepisyo, ay may halos 25 milyong mga gumagamit sa buong bansa. Sinabi ng higanteng pinansyal sa oras na hindi ito maglalabas ng mga kapalit na kard sapagkat walang anumang katibayan ng mapanlinlang na aktibidad na nauugnay sa mga kard at account.
Piggyback Phishing Attack
Ang mga gumagamit na tumanggap ng isang sulat ng abiso mula kay Chase ay alam ng isang katotohanan na naapektuhan sila at maaaring gumawa ng isang bagay tungkol dito. Ang iba pang 98 porsiyento ay naiwan "sa isang uri ng data security limbo, " ang sabi ni Paul Ducklin, isang researcher na Sophos. Ang mga gumagamit na ito ay kailangang maghintay at makita kung ang mga pagsisiyasat ng JPMorganChase ay nakabukas ng karagdagang mga detalye o higit pang mga biktima.
Target ng mga cyber-criminal ang mga gumagamit na ito sa isang kampanya sa phishing.
Ang email sa phishing na ito ay nagta-target sa "Chase Paymentech Gumagamit" at inabisuhan ang tatanggap ng "isang problema na sanhi ng paglabag sa database, " sumulat si Ducklin sa Naked Security. Hiniling ang gumagamit na mag-click sa isang link at kumpletuhin ang isang profile upang mapatunayan ang kanyang pagkakakilanlan. Ang aktwal na phish mismo ay hindi "katakut-takot na sopistikado, " dahil ang mga gumagamit ay nakadirekta sa isang pahina ng mangangalakal, hindi isang sira na pahina ng UCARD, sinabi ni Ducklin.
Dahil ang pag-atake ng email ay gumagamit ng sariling mga imahe at styleheet ni Chase, ipinapasa nila ang "kaswal na visual muster, " sabi ni Ducklin. At dahil nababahala na ng mga gumagamit ang tungkol sa paglabag at naghahanap ng impormasyon, nauna silang nahuhulog para sa mga scam na ito.
Kadalasang sinusubukan ng mga kriminal na masira ang seguridad sa pamamagitan ng pag-iwas sa takot sa mga potensyal na biktima upang linlangin sila sa pagbabahagi ng kumpidensyal na impormasyon o paggawa ng ilang tukoy na aksyon. Dapat kang palaging mag-ingat sa anumang komunikasyon na humihiling sa iyo na mag-click sa isang link o magbigay ng kumpidensyal na impormasyon. Tulad ng itinuro ni Ducklin, hindi tulad ng isang institusyong pampinansyal na kamakailan ay nagkaroon ng insidente sa seguridad ay magpapadala ng isang email na humihiling sa iyo na mag-click sa isang link na magdadala sa iyo sa isang pahina ng pag-login.
"Kapag nakatanggap ka ng isang link sa email na pupunta sa isang pahina ng pag-login, tulad ng isang ito, maaari mong agad na maging tiyak na ito ay walang kabuluhan, " babala ni Ducklin.
Huwag I-click lamang
Alalahanin na ang Chase, o anumang lehitimong negosyo, ay hinding-hindi hihilingin ang personal na impormasyon sa pamamagitan ng email. Habang ang ilang mga kumpanya ay gumagamit ng email upang abisuhan ang mga gumagamit ng isang paglabag (tulad ng Adobe), kung may paglabag sa kung saan ang mga rekord sa pananalapi o kalusugan ay nakompromiso, malamang na makakatanggap ka ng isang abiso at lahat ng mga follow-up na komunikasyon sa postal mail.
"Ang mga uri ng pag-atake na ito ay maaaring magmukhang kapani-paniwala na kapani-paniwala, at mahirap para sa mga tao na makita ang mga ito bilang mga fakes, " sabi ni Lee Weiner, senior vice-president ng mga produkto at engineering sa Rapid7. Kaya sa halip na subukang malaman kung ano ang tunay at kung ano ang hindi, ang mga tao ay kailangan lamang makapasok sa ugali ng hindi pag-click sa mga link.
Sa halip, dapat silang "dumiretso sa site na nais mong gamitin ang iyong web browser at pagkatapos ay gamitin ang sariling nabigasyon ng site upang mahanap ang iyong pahina, " sinabi ni Weiner. O kunin lamang ang telepono at tumawag, o maglakad upang makipag-usap sa isang empleyado nang harapan.
