Avez-vous déjà failli cliquer sur un lien de phishing par simple coïncidence ?
Nous avons eu quelques surprises, comme lorsque nous avons acheté un téléphone portable dans un magasin Click and Collect il y a quelques années.
Ayant vécu en dehors du Royaume-Uni pendant de nombreuses années auparavant, il s'agissait de notre tout premier achat auprès de cette entreprise depuis plus d'une décennie…
… pourtant, dès le lendemain matin, nous avons reçu un SMS prétendant provenir de ce même magasin, nous informant que nous avions trop payé et qu'un remboursement était en attente.
Non seulement c’était notre première interaction avec la marque X depuis des lustres, mais c’était aussi le tout premier SMS (authentique ou autre) que nous recevions mentionnant la marque X.
Quelle est la probabilité que CELA se produise ?
(Depuis, nous avons effectué quelques achats supplémentaires auprès de X, y compris ironiquement un autre téléphone mobile suite à la découverte que les téléphones ne fonctionnent pas toujours bien dans les courses à vélo, et nous avons reçu plusieurs autres messages SMS frauduleux ciblant X, mais ils Je ne me suis jamais aligné de manière aussi crédible.)
Faisons le calcul
Malheureusement, les chances qu’une arnaque rencontre la réalité sont étonnamment bonnes, si vous faites le calcul.
Après tout, la chance de deviner les numéros gagnants à la loterie britannique (6 boules numérotées sur 59) est de 1 sur 45 millions, presque infinitésimale, calculée via la formule connue sous le nom de 59C6 or 59 choose 6, lequel est 59!/6!(59-6)!, ce qui ressort comme 59x56x55x54x53x52/6x5x4x3x2x1 = 45,057,474.
Voilà pourquoi vous avez je n’ai jamais gagné le jackpot…
…même si pas mal de gens ont, au fil des années, cela a duré.
De la même manière, les escrocs du phishing n’ont pas besoin de cibler ou de tromper you, mais simplement pour tromper quelqu'un, et un jour, peut-être, juste peut-être, ce quelqu'un pourrait être toi.
Nous avons eu un étrange rappel de cela hier soir, alors que nous étions assis sur le canapé, lisant paresseusement un article dans une publication technique. Le registre à propos de l'arnaque 2FA.
La première surprise a été qu'au moment même où nous pensions, "Hé, nous avons écrit quelque chose comme ça il y a environ deux semaines," nous avons atteint le paragraphe dans le Il reg une histoire qui non seulement disait exactement cela, mais qui était directement liée à notre propre article!
Quelle est la probabilité que CELA se produise ?
Bien sûr, tout écrivain qui dit ne pas se soucier du fait que d'autres personnes remarquent ou non son travail n'est certainement pas digne de confiance, et nous sommes prêts à admettre (hum) que nous avons pris une capture d'écran du paragraphe concerné et l'avons envoyé par courrier électronique. pour nous-mêmes (« uniquement à des fins de documentation de relations publiques » était l'explication que nous avons retenue).
Maintenant ça devient plus bizarre
C’est ici que la coïncidence des coïncidences devient plus étrange.
Après avoir envoyé l'e-mail de notre téléphone à notre ordinateur portable, nous nous sommes déplacés de moins de deux mètres vers notre gauche et nous nous sommes assis devant ledit ordinateur portable pour enregistrer l'image ci-jointe, pour constater que pendant les quelques secondes où nous étions debout...
…les mêmes escrocs qu'avant nous en avaient envoyé un autre par e-mail Pages Facebook Arnaque 2FA, contenant un texte presque identique au précédent :
Quelle est la probabilité que CELA se produise, combinée à la probabilité d’une coïncidence précédente qui vient de se produire pendant que nous lisions l’article ?
Malheureusement, étant donné la facilité avec laquelle les cybercriminels peuvent enregistrer de nouveaux noms de domaine, configurer de nouveaux serveurs et envoyer des millions d’e-mails à travers le monde…
… les chances sont suffisamment élevées pour qu’il serait encore plus surprenant que ce genre de coïncidence ne se produise JAMAIS.
Petits changements à l'arnaque
Il est intéressant de noter que ces escrocs ont apporté de légères modifications à leur arnaque.
Comme la dernière fois, ils ont créé un e-mail HTML avec un lien cliquable qui ressemblait lui-même à une URL, même si l’URL réelle à laquelle il renvoyait n’était pas celle qui apparaissait dans le texte.
Cette fois, cependant, le lien que vous avez vu si vous avez survolé le texte bleu dans l'e-mail (le présenter cible de l'URL plutôt que celle apparente) était en réalité un lien vers une URL hébergée sur le facebook.com domaine.
Au lieu de créer un lien directement depuis leur courrier électronique vers leur site frauduleux, avec son faux mot de passe et ses invites 2FA, les criminels se sont liés à leur propre page Facebook, leur donnant ainsi un facebook.com lien à utiliser dans l'e-mail lui-même :
Cette astuce en un clic supplémentaire offre aux criminels trois petits avantages :
- Le dernier lien douteux n’est pas directement visible par le logiciel de filtrage des e-mails, et n'apparaît pas si vous survolez le lien dans votre client de messagerie.
- Le lien frauduleux dégage une légitimité apparente d'apparaître sur Facebook lui-même.
- Cliquer sur le lien frauduleux semble en quelque sorte moins dangereux parce que vous le visitez depuis votre navigateur plutôt que d’y accéder directement à partir d’un e-mail, ce à quoi nous avons tous appris à être prudent.
Nous n’avons pas manqué l’ironie, et nous espérons que vous non plus, d’une page Facebook totalement fausse créée spécifiquement pour nous dénoncer pour la prétendue mauvaise qualité de notre propre page Facebook !
À partir de ce moment, l’arnaque suit exactement le même workflow que celui que nous avons écrit la dernière fois :
Tout d’abord, on vous demande votre nom et d’autres informations personnelles semblant raisonnables.
Deuxièmement, vous devez confirmer votre appel en saisissant votre mot de passe Facebook.
Enfin, comme vous pouvez vous y attendre lorsque vous utilisez votre mot de passe, il vous est demandé de saisir le code 2FA unique que votre application de téléphone mobile vient de générer ou qui est arrivé par SMS.
Bien sûr, dès que vous fournissez chaque élément de données au cours du processus, les escrocs utilisent les informations phishing pour se connecter en temps réel comme s'ils étaient vous, et finissent donc par accéder à votre compte à votre place.
La dernière fois, il ne s'est écoulé que 28 minutes entre les escrocs et la création du faux domaine qu'ils ont utilisé dans l'arnaque (le lien qu'ils ont mis dans l'e-mail lui-même), ce qui nous a semblé assez rapide.
Cette fois, cela n’a duré que 21 minutes. Cependant, comme nous l’avons mentionné, le faux domaine n’a pas été utilisé directement dans le faux e-mail que nous avons reçu, mais a été placé sur une page Web en ligne hébergée, assez ironiquement, en tant que page sur facebook.com elle-même.
Nous avons signalé la fausse page à Facebook dès que nous l'avons trouvée ; la bonne nouvelle est qu’il a maintenant été mis hors ligne, rompant ainsi le lien entre l’e-mail frauduleux et le faux domaine Facebook :
Que faire?
Ne tombez pas dans les escroqueries comme celle-ci.
- N'utilisez pas de liens dans les e-mails pour accéder aux pages officielles « d'appel » sur les sites de médias sociaux. Apprenez vous-même où aller et conservez un enregistrement local (sur papier ou dans vos signets), de sorte que vous n'ayez jamais besoin d'utiliser des liens Web de messagerie, qu'ils soient authentiques ou non.
- Vérifiez attentivement les URL des e-mails. Un lien avec du texte qui lui-même ressemble à une URL n'est pas nécessairement l'URL vers laquelle le lien vous dirige. Pour trouver le véritable lien de destination, survolez le lien avec votre souris (ou touchez et maintenez le lien sur votre téléphone mobile).
- Ne présumez pas que toutes les adresses Internet avec un domaine bien connu sont sûres d’une manière ou d’une autre. Des domaines tels que
facebook.com,outlook.comorplay.google.comsont des services légitimes, mais on ne peut pas faire confiance à tous ceux qui utilisent ces services. Les comptes de messagerie individuels sur un serveur de messagerie Web, les pages sur une plateforme de médias sociaux ou les applications dans une boutique de logiciels en ligne finissent tous hébergés par des plateformes avec des noms de domaine de confiance. Mais le contenu fourni par les utilisateurs individuels n’est ni créé par cette plate-forme ni particulièrement soigneusement contrôlé par cette plate-forme (quel que soit le niveau de vérification automatisée que la plate-forme prétend effectuer). - Vérifiez attentivement les noms de domaine des sites Web. Chaque caractère compte, et la partie commerciale de tout nom de serveur se trouve à la fin (le côté droit dans les langues européennes qui va de gauche à droite), pas au début. Si je possède le domaine
dodgy.examplealors je peux mettre n'importe quel nom de marque que j'aime au début, commevisa.dodgy.exampleorwhitehouse.gov.dodgy.example. Ce sont simplement des sous-domaines de mon domaine frauduleux, et tout aussi indignes de confiance que n'importe quelle autre partie dedodgy.example. - Si le nom de domaine n'est pas clairement visible sur votre téléphone portable, envisagez d'attendre jusqu'à ce que vous puissiez utiliser un navigateur de bureau standard, qui dispose généralement de beaucoup plus d'espace à l'écran pour révéler le véritable emplacement d'une URL.
- Envisagez un gestionnaire de mots de passe. Les gestionnaires de mots de passe associent les noms d'utilisateur et les mots de passe de connexion à des services et des URL spécifiques. Si vous vous retrouvez sur un site imposteur, aussi convaincant soit-il, votre gestionnaire de mots de passe ne sera pas dupe car il reconnaît le site par son URL, et non par son apparence.
- Ne soyez pas pressé d'entrer votre code 2FA. Utilisez la perturbation de votre flux de travail (par exemple, le fait que vous devez déverrouiller votre téléphone pour accéder à l'application du générateur de code) comme raison de vérifier cette URL une seconde fois, juste pour être sûr, pour être sûr.
- Pensez à signaler les pages frauduleuses à Facebook. Malheureusement, vous devez avoir votre propre compte Facebook pour le faire (les utilisateurs non-Facebook ne peuvent pas soumettre de rapports pour aider la communauté dans son ensemble, ce qui est dommage), ou avoir un ami qui enverra le rapport à votre place. . Mais notre expérience dans ce cas a montré que le signalement a fonctionné, car Facebook a rapidement bloqué l'accès à la page incriminée.
N’oubliez pas qu’en ce qui concerne les données personnelles, notamment les mots de passe et les codes 2FA…
...En cas de doute / Ne le donnez pas.
- 2FA
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- Sécurité nue
- NexBLOC
- phishing
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- la confidentialité
- Arnaque
- VPN
- la sécurité d'un site web
- zéphyrnet
