Video: Serial Police Impersonator Nearly Talks Himself Into Jail (September 2024)
Barn som går runt i troll och vampyrdräkter skrämmer mig inte på Halloween, och inte heller skrämmande filmer på TV. Så vad är det läskigaste som hände hittills idag? Det var ett telefonsamtal .
Enligt nummerpresentationen var detta ett lokalt nummer. När vi svarade identifierade sig en manlig röst som han ringde från "Kings County Sheriff's Office" och bad om en familjemedlem. När vi förklarade att hon inte var tillgänglig, fick vi höra att det fanns en utestående garanti för min familjemedlem. Vi fick också höra att denna familjemedlem skulle arresteras under de kommande 45 minuterna på grund av utestående federala skatter från 2010.
Vi är alltid villiga att samarbeta, med anledning, så vi bad om mer information. Efter att ha gett oss ett telefonnummer och namnet på den person vi borde prata med på det federala regeringen, överförde den som ringde oss till det numret. Den federala agenten som svarade på telefonen hävdade att om vi ville lösa detta direkt, skulle vi behöva ange ett mobiltelefonnummer. Personen var inte så nöjd när vi vägrade och fortsatte att upprepa att vår brist på samarbete innebar att denna familjemedlem skulle arresteras på 45 minuter.
Skrämmande? Lite grann.
Röda flaggor i överflöd
Långtidsläsare av SecurityWatch skulle direkt ha märkt några av de röda flaggorna som indikerar att detta var en bluff och inte ett riktigt samtal. Låt oss gå igenom dem.
1. Invånarna i New York City vet att vi inte har ett "Kings County Sheriffs Office." Vi har NYPD. Men vi har faktiskt ett sheriffkontor, och det hanterar skatteundvikelsesproblem, men som den vänliga talesman på sheriffkontoret sa till mig idag, gör kontoret ingenting med den federala regeringen. Sheriff's Office hanterar endast ärenden för lokala skatter, och till och med det är inte en stor del av deras normala caseload, sa han.
2. Den som ringer fortsatte att säga "federal regering" - inte IRS. Inte tjänsten för inkomster. Försök igen, kompis.
3. brottsbekämpning ringer inte och säger "betala eller så arresterar vi dig." Inte bara skulle de inte ringa mig hemma först, utan de kommer inte heller att ge mig möjligheten att få detta att försvinna först. Som min nya kompis på Sheriff's Office sa: "Det är inte så systemet fungerar." Om det verkligen fanns en befäl skulle arresteringen inträffa först och sedan kommer det att finnas möjlighet att fixa det. Vanligtvis med en domare.
4. Tidspresset för att "agera på 45 minuter" var helt klart en socialteknisk taktik för att skapa en högtryckssituation, säger Robert Hansen, White Hat Security. Detta är lite liknande den typ av ransomware och scareware-bedrägerier vi har pratat om tidigare, där de skapar en känsla av brådskande, och om vi inte vidtar åtgärder direkt, kommer något dåligt att hända. I fallet med CryptoLocker och andra typer av ransomware kan skadlig programvara faktiskt utöva hotet.
5. Jag nämnde inte detta i ovanstående sammanfattning, men vi fick höra att vi skulle överföras för att prata med "Michael Black." Men när han svarade sa han: "Det här är Khan." När vi bad om Michael Black sa han: "Det är samma sak." Du vet, om du ska köra en bedrägeri, få dina namn raka.
När jag nämnde till Sheriff's Office-talesman som den som ringde hävdade att det förfallna beloppet var 1 798 dollar, skrattade han och sa: "Det finns människor som är skyldiga ton mer än så och inte arresteras."
Kom ihåg att om det verkligen var fråga om förfallna skatter skulle IRS eller någon statlig enhet för något problem egentligen skicka ett brev med posten. Och följa upp via mail. Det första samtalet kommer inte från brottsbekämpning.
"Du får inte en arresteringsorder. Du får bara mycket post, " sa Chester Wisniewski från Sophos till mig.
Svindlarna ville att vi skulle agera snabbt och var galna att vi inte gjorde det. De nämnde hela tiden hur det skulle vara vårt fel om gripandet inträffade. I det här fallet, och jag hoppas verkligen att jag har rätt, är det osannolikt att ett arrest kommer att inträffa snart.
Få inte panik. Tror.
Det hjälpte att vi inte fick panik och föll i fällan att tro att vi var tvungna att göra något direkt, eftersom vi kunde upptäcka andra flaggor.
"Det bästa sättet att reagera är förmodligen att koppla av först", rekommenderade Hansen.
Vi krävde information. De hade inte mycket, och fortsatte att insistera på ett mobilnummer. Så småningom bad de om en e-postadress. Har inte sett någonting i min inkorg ännu, men så snart den kommer, kan du vara säker på att jag skickar den till betrodda experter för att ta reda på vad den har.
"Lita inte på något som kommer till dig att du inte vet var det kommer ifrån, " sa Wisniewski. "Häng upp och ring tillbaka banken, regeringen, vem personen än är, och kontrollera att detta är verkligt." Om detta var en legitim anställd från ett företag, eller en medlem av brottsbekämpning, kommer de omedelbart att tillhandahålla nödvändig information, såsom namn, förlängning och märke nummer, så att du kan verifiera vem de är.
Samma regel gäller om detta hände via e-post istället för ett telefonsamtal. Klicka inte på länken utan gå direkt till organisationssidan och se om du kan få mer information.
Vi ringde omedelbart till IRS - inte med det nummer som den som ringde gav oss, men genom att leta upp det på IRS.gov - och även Sheriff's Office. Faktum är att när vi ringde till sheriffens kontor sa talespersonen omedelbart att vi inte var de första som rapporterade denna bedrägeri.
Du bör också försöka samla in så mycket information som möjligt om den som ringer så att du kan rapportera den till den verkliga brottsbekämpningen. Vi fick personens "namn" - både förnamn och efternamn - och telefonnummer. Vi kunde inte få mer information, till exempel deras titel, deras märkningsnummer, avdelningen de arbetar på, docket nummer / ärendenummer de arbetar från etc.
"Lita på din tarm. Om samtalet inte verkar rätt, lita på den känslan, " sa Wisniewski. Han noterade också att höra en indisk accent i dessa situationer vanligtvis sätter honom på vakt på grund av tidigare bedrägerier (till exempel Microsofts supportfusk) som härrör från indiska callcenter. Jag säger inte att alla indiska accenter är misstänkta (hela min familj har en accent), eller att icke-accenterade anropare alltid är legitima. Men tänk på att det har varit mycket misstänkta samtal nyligen och det är en sak att tänka på om du känner dig misstänksam.
Vad var slutspelet?
Jag beskrev hela bedrägeriet till Wisniewski och han var fascinerad och sa att detta lät som en ny typ av bedrägeri. Jag är nyfiken på vad slutspelet var. Var mobilnumret så att de kunde SMSa mig en länk till betalningsportalen? Varför bad de inte om ett kreditkortsnummer?
Detta kunde ha varit ett försök att registrera mig till ett premiumsatsnummer där jag skulle få fakturering för tjänster som Joke-of-the-Day, men det verkar som att den som ringer tog en hel del risker med detta tillvägagångssätt, noterade Wisniewski. Det kan också ha varit ett försök att skicka ut SMS-skräppost.
Det är möjligt att de ursprungligen försökte nå min familjemedlem direkt för att få identifierbar information som personnummer och kreditkortsinformation, föreslog NetIQs Geoff Webb. Eftersom personen inte svarade på telefonen, bytte de sedan till att "proppa" mig, där de skulle lägga falska avgifter till mobiltelefonräkningen, spekulerade Webb.
Jag har inga andra idéer. Om någon har idéer om vad denna bedrägeri kan handla om, @securitywatch skulle gärna se tips.
