Sind Sie schon einmal so nah dran gewesen, einfach durch Zufall auf einen Phishing-Link zu klicken?
Wir haben einige Überraschungen erlebt, zum Beispiel, als wir vor ein paar Jahren ein Mobiltelefon in einem Click-and-Collect-Laden gekauft haben.
Nachdem wir davor viele Jahre außerhalb des Vereinigten Königreichs gelebt hatten, war dies unser allererster Kauf in diesem speziellen Unternehmen seit weit über einem Jahrzehnt…
…doch schon am nächsten Morgen erhielten wir eine SMS, die angeblich von genau diesem Laden stammte und uns mitteilte, dass wir zu viel bezahlt hatten und dass eine Rückerstattung wartete.
Dies war nicht nur unsere erste Interaktion mit Marke X seit Ewigkeiten, es war auch die allererste SMS (echte oder andere), die wir jemals erhalten haben und in der Marke X erwähnt wurde.
Wie hoch ist die Wahrscheinlichkeit, dass DAS passiert?
(Seitdem haben wir ein paar weitere Einkäufe bei X getätigt, ironischerweise auch ein weiteres Mobiltelefon, nachdem wir festgestellt hatten, dass Telefone bei Fahrradprangs nicht immer gut abschneiden, und wir haben mehrere weitere SMS-Betrugsnachrichten erhalten, die auf X abzielen, aber sie habe mich noch nie so glaubwürdig aufgestellt.)
Machen wir die Arithmetik
Ärgerlicherweise sind die Chancen, dass Scam-meets-real-life-Zufälle überraschend gut sind, wenn Sie rechnen.
Immerhin ist die Chance, die Gewinnzahlen in der britischen Lotterie (6 nummerierte Kugeln aus 59) zu erraten, ein fast unendlich kleiner 1 zu 45 Millionen, berechnet nach der Formel namens 59C6 or 59 choose 6, Das ist 59!/6!(59-6)!, was herauskommt als 59x56x55x54x53x52/6x5x4x3x2x1 = 45,057,474.
Deshalb ist Du hast habe noch nie den jackpot gewonnen...
…wenngleich ziemlich viele Leute haben, im Laufe der vielen Jahre ist es gegangen.
Auf die gleiche Weise müssen Phishing-Gauner nicht zielen oder austricksen U, sondern nur zum austricksen jemand, und eines Tages, vielleicht, nur vielleicht, könnte dieser jemand du sein.
Wir hatten erst letzte Nacht eine seltsame Erinnerung daran, als wir auf dem Sofa saßen und müßig einen Artikel in einer Fachzeitschrift lasen Das Register über 2FA-Betrug.
Die erste Überraschung war, dass wir genau in dem Moment dachten, „Hey, so etwas haben wir vor etwa zwei Wochen geschrieben.“ wir erreichten den Absatz in der Er reg Geschichte, die nicht nur genau das sagte, sondern direkt verlinkte zu unserem eigenen Artikel!
Wie hoch ist die Wahrscheinlichkeit, dass DAS passiert?
Natürlich ist jedem Autor, der sagt, dass es ihm egal ist, ob andere Leute seine Arbeit bemerken oder nicht, mit ziemlicher Sicherheit nicht zu trauen, und wir sind bereit zuzugeben (ähm), dass wir einen Screenshot des relevanten Absatzes gemacht und ihn per E-Mail geschickt haben an uns selbst („reine PR-Dokumentationszwecke“ war die Erklärung, für die wir uns entschieden haben).
Jetzt wird es seltsamer
Hier wird der Zufall der Zufälle noch seltsamer.
Nachdem wir die E-Mail von unserem Telefon an unseren Laptop gesendet hatten, gingen wir weniger als zwei Meter nach links und setzten uns vor besagten Laptop, um das angehängte Bild zu speichern, nur um das zu finden während der paar Sekunden standen wir auf...
…die GLEICHEN SCHWANGER WIE VORHER hatten uns noch eine E-Mail geschickt Facebook-Seiten 2FA-Betrug, der fast identischen Text wie der vorherige enthält:
Wie hoch ist die Wahrscheinlichkeit, dass DAS passiert, kombiniert mit der Wahrscheinlichkeit des vorherigen Zufalls, der gerade passiert ist, während wir den Artikel gelesen haben?
Angesichts der Leichtigkeit, mit der Cyberkriminelle neue Domainnamen registrieren, neue Server einrichten und Millionen von E-Mails rund um den Globus verschicken können, ist das traurig …
… die Wahrscheinlichkeit hoch genug ist, dass es überraschender wäre, wenn ein solcher Zufall NIE passiert wäre.
Kleine Änderungen am Betrug
Interessanterweise hatten diese Gauner bescheidene Änderungen an ihrem Betrug vorgenommen.
Wie beim letzten Mal erstellten sie eine HTML-E-Mail mit einem anklickbaren Link, der selbst wie eine URL aussah, obwohl die eigentliche URL, auf die er verlinkte, nicht die war, die im Text erschien.
Diesmal ist jedoch der Link, den Sie gesehen haben, wenn Sie den Mauszeiger über den blauen Text in der E-Mail bewegt haben (die präsentieren URL-Ziel und nicht das scheinbare) war wirklich ein Link zu einer URL, die auf der gehostet wurde facebook.com Domäne.
Anstatt direkt von ihrer E-Mail auf ihre Betrugsseite mit ihrem gefälschten Passwort und den 2FA-Eingabeaufforderungen zu verlinken, haben die Kriminellen auf eine eigene Facebook-Seite verlinkt und ihnen so eine Chance gegeben facebook.com Link zur Verwendung in der E-Mail selbst:
Dieser One-Extra-Click-Away-Trick verschafft den Kriminellen drei kleine Vorteile:
- Der letzte zwielichtige Link ist für die E-Mail-Filtersoftware nicht direkt sichtbar, und wird nicht angezeigt, wenn Sie den Mauszeiger über den Link in Ihrem E-Mail-Client bewegen.
- Der Betrugslink zeichnet sich durch scheinbare Legitimität aus nicht auf Facebook selbst erscheinen.
- Das Klicken auf den Betrugslink fühlt sich irgendwie weniger gefährlich an weil Sie es von Ihrem Browser aus besuchen, anstatt direkt von einer E-Mail aus dorthin zu gehen, was uns allen beigebracht wurde, vorsichtig zu sein.
Uns ist die Ironie nicht entgangen, und wir hoffen, Ihnen auch nicht, dass eine völlig falsche Facebook-Seite speziell eingerichtet wurde, um uns wegen der angeblich schlechten Qualität unserer eigenen Facebook-Seite anzuprangern!
Von diesem Punkt an folgt der Betrug genau dem gleichen Arbeitsablauf wie dem, den wir letztes Mal geschrieben haben:
Zuerst werden Sie nach Ihrem Namen und anderen vernünftig klingenden Mengen an persönlichen Informationen gefragt.
Zweitens müssen Sie Ihren Einspruch bestätigen, indem Sie Ihr Facebook-Passwort eingeben.
Schließlich werden Sie, wie Sie es bei der Verwendung Ihres Passworts erwarten können, aufgefordert, den einmaligen 2FA-Code einzugeben, den Ihre Handy-App gerade generiert hat oder der per SMS eingegangen ist.
Sobald Sie jedes Datenelement im Prozess angeben, verwenden die Gauner natürlich die Phishing-Informationen, um sich in Echtzeit anzumelden, als ob sie Sie wären, sodass sie anstelle von Ihnen Zugriff auf Ihr Konto erhalten.
Beim letzten Mal vergingen nur 28 Minuten, bis die Gauner die gefälschte Domain erstellten, die sie in dem Betrug verwendeten (der Link, den sie in die E-Mail selbst eingefügt hatten), was wir für ziemlich schnell hielten.
Diesmal waren es nur 21 Minuten, obwohl, wie wir bereits erwähnt haben, die gefälschte Domain nicht direkt in der gefälschten E-Mail verwendet wurde, die wir erhielten, sondern stattdessen auf einer Online-Webseite platziert wurde, die ironischerweise als Page on gehostet wurde facebook.com sich.
Wir haben die gefälschte Seite Facebook gemeldet, sobald wir sie gefunden haben; Die gute Nachricht ist, dass es jetzt offline geschaltet wurde, wodurch die Verbindung zwischen der betrügerischen E-Mail und der gefälschten Facebook-Domain unterbrochen wurde:
Was ist zu tun?
Fallen Sie nicht auf solche Betrügereien rein.
- Verwenden Sie keine Links in E-Mails, um offizielle „Einspruchs“-Seiten auf Social-Media-Websites zu erreichen. Erfahren Sie selbst, wohin Sie gehen müssen, und führen Sie eine lokale Aufzeichnung (auf Papier oder in Ihren Lesezeichen), sodass Sie niemals E-Mail-Weblinks verwenden müssen, egal ob sie echt sind oder nicht.
- Überprüfen Sie die E-Mail-URLs sorgfältig. Ein Link mit Text, der selbst wie eine URL aussieht, ist nicht unbedingt die URL, zu der Sie der Link führt. Um den wahren Ziellink zu finden, fahren Sie mit der Maus über den Link (oder berühren und halten Sie den Link auf Ihrem Mobiltelefon).
- Gehen Sie nicht davon aus, dass alle Internetadressen mit einer bekannten Domain irgendwie sicher sind. Domänen wie
facebook.com,outlook.comorplay.google.comsind legitime Dienste, aber nicht jedem, der diese Dienste nutzt, kann vertraut werden. Einzelne E-Mail-Konten auf einem Webmail-Server, Seiten auf einer Social-Media-Plattform oder Apps in einem Online-Software-Store werden schließlich alle von Plattformen mit vertrauenswürdigen Domainnamen gehostet. Aber die von einzelnen Benutzern bereitgestellten Inhalte werden von dieser Plattform weder erstellt noch besonders streng überprüft (egal wie viel automatisierte Überprüfung die Plattform vorgibt). - Überprüfen Sie Website-Domainnamen sorgfältig. Jedes Zeichen zählt, und der geschäftliche Teil jedes Servernamens steht am Ende (die rechte Seite in europäischen Sprachen, die von links nach rechts verlaufen), nicht am Anfang. Wenn ich die Domain besitze
dodgy.exampledann kann ich jeden beliebigen markennamen an den start stellen, wie zbvisa.dodgy.exampleorwhitehouse.gov.dodgy.example. Das sind einfach Subdomains meiner betrügerischen Domain und genauso nicht vertrauenswürdig wie jeder andere Teil davondodgy.example. - Wenn der Domainname auf Ihrem Mobiltelefon nicht deutlich sichtbar ist, Erwägen Sie zu warten, bis Sie einen normalen Desktop-Browser verwenden können, der normalerweise viel mehr Platz auf dem Bildschirm hat, um die wahre Position einer URL anzuzeigen.
- Ziehen Sie einen Passwort-Manager in Betracht. Passwortmanager verknüpfen Benutzernamen und Anmeldepasswörter mit bestimmten Diensten und URLs. Wenn Sie auf einer betrügerischen Website landen, egal wie überzeugend sie aussieht, lässt sich Ihr Passwort-Manager nicht täuschen, da er die Website anhand ihrer URL und nicht anhand ihres Aussehens erkennt.
- Haben Sie es nicht eilig, Ihren 2FA-Code einzugeben. Verwenden Sie die Unterbrechung in Ihrem Arbeitsablauf (z. B. die Tatsache, dass Sie Ihr Telefon entsperren müssen, um auf die Code-Generator-App zuzugreifen) als Grund, diese URL ein zweites Mal zu überprüfen, nur um sicherzugehen.
- Erwägen Sie, betrügerische Seiten an Facebook zu melden. Ärgerlicherweise müssen Sie dazu ein eigenes Facebook-Konto haben (Nicht-Facebook-Benutzer können leider keine Berichte einreichen, um der größeren Community zu helfen), oder einen Freund haben, der den Bericht für Sie einsendet . Unsere Erfahrung in diesem Fall war jedoch, dass die Meldung funktionierte, da Facebook bald den Zugriff auf die anstößige Seite blockierte.
Denken Sie daran, wenn es um persönliche Daten geht, insbesondere um Passwörter und 2FA-Codes…
...Im Zweifelsfall/Geben Sie es nicht heraus.
- 2FA
- Blockchain
- Einfallsreichtum
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- Internet-Sicherheit
- Cyber-Kriminelle
- Internet-Sicherheit
- Heimatschutzministerium
- digitale Brieftaschen
- Firewall
- Kaspersky
- Malware
- McAfee
- Nackte Sicherheit
- NexBLOC
- Phishing
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- Datenschutz
- Betrug
- VPN
- Website-Sicherheit
- Zephyrnet
