Britanska kompanija za IT sigurnost i kontrolu, Sophos, upozorila je kompjuterske korisnike  da budu ekstra oprezni prilikom dobijanja email-ova koji trvrde da dolaze od strane finansijskih institucija, bez obzira koliko oni verodostojno izgledali. Mala kreditna unija, Kessler Federal, se našla u fokusu sajber kriminalaca koji plasiraju phishing email-ove. U email-u se navodno upozoravaju korisnici Kessler Federal usluga da ukoliko dobiju “Phishing upozorenje” koje traži od njih da posete web sajt i da potvrde svoje personalne podatke, da tada pozovu određeni telefonski broj i da samo na tom broju potvrde svoje podatke.

Eksperti iz Sophos-a su otkrili skoro “savršene” detalje ovog phishing napada. Naime, sajber kriminalci su koristili tekst koji se zaista koristi na legitimnom Kessler Federal web sajtu i u svoj mail su postavili legitimne URL-ove koji vode do zvaničnih stranica sa savetima. U email-u se čak nalazila i legitimna email adresa na koju se prijavljuju sve zloupotrebe. Jedine stavke koje su menjali su datum, deo teksta i broj telefona, u cilju podsticanja poziva primaoca mail-a, što nije narušavalo izgled legitimnog mail-a.

Prikaz izgleda mail-a lažnog upozorenja:

Primaoci mail-a koji su pozvali ponuđeni broj telefona iz email-a, bili su pozdravljeni glasom sa automatske sekretarice koja je pozivaoca obaveštavala da od njega neće biti traženo da da svoje lične podatke poput broja socijalnog osiguranja na primer. Tada su od pozivaoca traže informacije o broju bankovnog računa i PIN-u, što je bilo sasvim dovoljno da se bankovni računi kompletno isprazne! Novac je kasnije podignut na bankomatima ili je jednostavno prebačen na off-shore račune.

Ovo nije prvi pokušaj Voice Phishing-a (ili Vishing-a). U 2006.godini, PayPal korisnici su iskusili sličnu prevaru. Insistiralo se od primaoca mail-a da pozove telefonski broj i da potvrde svoje podatke. Pozivom na broj, javljala se automatska sekretarica koja je zahtevala da se unesu 16 cifara sa kreditne kartice: “Welcome to account verification. Please type your 16 digit card number.”

• Listen to a WAV file of the phone message (203 KB)

Kada su jednom bili uneti brojevi računa, sajber kriminalcima su bila širom otvorena vrata u krađi i ostalih informacija i ostvarivanja njihove koristi. Išli su toliko daleko da ukoliko je neko pogrešno uneo broj svog računa, pojavio bi se ponovni zahtev za novim unosom broja, što je samo povećavalo uverljivost ispravnosti pozvanog telefonskog broja.