Phishing für Selfies? Neue Masche zielt auf Kunden der Chase Bank

Ja, wir leben im Zeitalter des Selfies. Geben Sie es zu, Sie haben auch schon welche gemacht. Aber hätten Sie jemals gedacht, dass Selfies Teil eines Phishing-Betrugs sein könnten?

Die Angreifer haben sich dieses Mal wirklich selbst übertroffen, wie neu veröffentlichte Untersuchungen zeigen.

Laut BleepingComputer fragt eine neue Phishing-Masche, die auf Kunden der Chase Bank abzielt, nicht nur nach den persönlichen Daten der Opfer, sondern verlangt auch ein hochgeladenes Selfie, auf dem sie ihren Ausweis oder Führerschein halten.

Diese vom MalwareHunter Team entdeckte Kampagne beginnt mit der Landing Page des Betrugs, die wie ein legitimes Anmeldeformular der Chase Bank aussieht.

Sobald die Benutzer versuchen, sich anzumelden, erscheint eine Fehlermeldung, die besagt, dass ihre Informationen falsch sind und ihre Identität überprüft werden muss. Die Phishing-Website lädt dann ein attraktives und gut gestaltetes Formular, mit dem versucht wird, weitere Informationen zu sammeln, um die Identität der Benutzer zu stehlen.

Auf dieser Website werden die Opfer aufgefordert, ihre Identität zu bestätigen, indem sie ein Selfie hochladen, das beide Seiten ihres Personalausweises zeigt.

Gib Angreifern einen Zentimeter, sie nehmen eine Meile

Sobald die Phisher ein Opfer in die Falle gelockt haben, ist es nur logisch, dass sie diese oft günstige Gelegenheit nutzen, um alles Wertvolle zu stehlen, was sie bekommen können.

Einerseits erscheint es fast komisch, Menschen dazu zu bringen, Selfies mit ihren Ausweisen zu machen, und wirft die Frage auf: Wer würde das tun? Andererseits wette ich, dass angesichts der Selfie-Kultur, der Logik und der Herausforderung, Identitäten online zu überprüfen, und der Geschwindigkeit, mit der Menschen reagieren können, bevor sie überhaupt nachdenken, viele Menschen sogar darauf hereinfallen würden.

BleedingComputer stellte fest, dass diese Art der Aufforderung - ein Selfie zu machen - noch nicht typisch für Phishing-Seiten ist. Sie ist jedoch typisch für Fälle, in denen Benutzer aufgefordert werden, sich für Glücksspiele, Kryptowährungen oder andere Finanzseiten zu registrieren.

Es besteht kein Zweifel daran, dass diese Art von Angriffen auf Einzelpersonen in Unternehmen abzielen könnte, um Anmeldedaten oder andere sensible Informationen zu stehlen. Der Schlüssel für Unternehmen ist ein umfassendes Programm von Technologiekontrollen und Schulungen zum Thema Cybersicherheit, damit diese Art von Angriffen nur sehr selten vorkommt.

Mehr über die Planung von Cyberangriffen erfahren Sie hier.