Hogyan nyernek időt a közösségi média csalói a 2FA-kódok ellopására

Évtizedek óta léteznek olyan adathalász csalások, amelyek arra próbálják rávenni Önt, hogy valódi jelszavát hamis webhelyre helyezze.

Amint azt a rendszeres Naked Security olvasók is tudják, az olyan óvintézkedések, mint a jelszókezelő használata és a kéttényezős hitelesítés (2FA) bekapcsolása segíthetnek megvédeni Önt az adathalászatokkal szemben, mert:

• A jelszókezelők felhasználóneveket és jelszavakat társítanak bizonyos weboldalakhoz. Ez megnehezíti a jelszókezelők számára, hogy tévedésből hamis webhelyeknek árulják el Önt, mivel nem tudnak automatikusan bevinni semmit, ha olyan weboldallal találkoznak, amelyet még soha nem láttak. Még ha a hamis webhely az eredeti pixel-tökéletes másolata is, és a szervernév olyan közel van, hogy az emberi szem számára szinte megkülönböztethetetlen legyen, a jelszókezelőt nem fogják becsapni, mert általában az URL-t, a teljes URL-t keresi. , és semmi más, csak az URL.
• Ha a 2FA be van kapcsolva, a jelszó önmagában általában nem elegendő a bejelentkezéshez. A 2FA-rendszerek által használt kódok általában csak egyszer működnek, függetlenül attól, hogy SMS-ben küldik a telefonra, egy mobilalkalmazás generálja őket, vagy egy biztonságos hardveres hardverkulcs vagy távirányító számítja ki őket, amelyet külön hord a számítógépétől. A kiberbűnözőknek már nem elég csak a jelszavát ismerni (vagy ellopni, megvenni vagy kitalálni), hogy hamisan „bizonyítsák”, hogy ő vagy.

Sajnos ezek az óvintézkedések nem védenek meg teljesen az adathalász támadások ellen, és a kiberbűnözők egyre jobban ráveszik az ártatlan felhasználókat, hogy egyszerre adják át jelszavaikat és 2FA-kódjaikat, ugyanazon támadás részeként…

…amikor a szélhámosok azonnal megpróbálják használni a felhasználónév + jelszó + egyszeri kód kombinációt, amihez csak most jutottak hozzá, abban a reményben, hogy elég gyorsan bejelentkezhetnek ahhoz, hogy beléphessenek fiókjába, mielőtt észrevenné, hogy valami adathalászat történik.

Még ennél is rosszabb, hogy a szélhámosok gyakran arra törekednek, hogy létrehozzák azt, amit mi szeretünk „puha leszállásnak” nevezni, ami azt jelenti, hogy hihető vizuális lezárást hoznak az adathalász expedíciójukhoz.

Emiatt gyakran úgy tűnik, hogy a jelszava és a 2FA-kód megadásával „jóváhagyott” tevékenység (például panasz megtámadása vagy megrendelés törlése) megfelelően befejeződött, és ezért nincs szükség további teendőkre.

Így a támadók nem csak bejutnak a fiókjába, hanem gyanútlannak érzik magukat, és valószínűtlen, hogy utánajárnak, hogy valóban feltörték-e a fiókját.

A rövid, de kanyargós út

Íme egy Facebook-átverés, amelyet a közelmúltban kaptunk, és amely pontosan erre az útra próbál vezetni, minden szakaszban eltérő hitelességgel.

A csalók:

• Tegyen úgy, mintha saját Facebook-oldala sérti a Facebook használati feltételeit. A szélhámosok arra figyelmeztetnek, hogy ez a fiók leállításához vezethet. Mint tudják, a Twitteren és körülötte jelenleg kirobbanó brouhaha zajos vitákká változtatta az olyan kérdéseket, mint a fiókellenőrzés, a felfüggesztés és a visszaállítás. Ennek eredményeként a közösségi média felhasználókat érthető módon aggasztják fiókjaik általános védelme, függetlenül attól, hogy kifejezetten aggódnak-e a Twitter miatt, vagy sem:
  

• Igazi oldalra csábít a facebook.com URL. A fiók hamis, teljes egészében ehhez az átverési kampányhoz lett beállítva, de a kapott e-mailben megjelenő link valóban facebook.com, így kevésbé valószínű, hogy gyanút kelt, akár Öntől, akár a spamszűrőtől. A szélhámosok elnevezték az oldalukat Szellemi tulajdon (a szerzői jogi panaszok manapság nagyon gyakoriak), és a Meta, a Facebook anyavállalatának hivatalos logóját használták a legitimitás növelése érdekében:
  

  

• Adjon meg egy URL-t, amellyel kapcsolatba léphet a Facebookkal a törlés elleni fellebbezéshez. A fenti URL nem végződik facebook.com, de olyan szöveggel kezdődik, amely az űrlap személyre szabott hivatkozásának tűnik facebook-help-nnnnnn, ahol a szélhámosok azt állítják, hogy a számjegyek nnnnnn egy egyedi azonosító, amely az Ön konkrét esetét jelöli:
  

  

• Gyűjtsön jórészt ártatlannak tűnő adatokat a Facebook-jelenlétéről. Van még egy opcionális mező is További információ ahol felkérnek, hogy érvelje az ügyét. (Lásd a fenti képet.)

Most „bizonyítsd” magad

Ezen a ponton bizonyítania kell, hogy valóban Ön a fiók tulajdonosa, így a csalók azt mondják, hogy:

• Hitelesítés a jelszavával. A webhelyen található a szöveg facebook-help-nnnnnnn a címsávban; HTTPS-t használ (secure HTTP, azaz lakat látható); a márkajelzés pedig a Facebook saját oldalaihoz hasonlít:
  

  

• Adja meg a 2FA kódot a jelszavához. A párbeszédpanel itt nagyon hasonlít a Facebook által használthoz, a szöveget közvetlenül a Facebook saját felhasználói felületéről másolták át. Itt láthatja a hamis párbeszédpanelt (fent) és az igazit, amelyet maga a Facebook jelenítene meg (lent):
  

  

  

• Várjon legfeljebb öt percet abban a reményben, hogy a „fiókblokk” automatikusan megszűnik. A szélhámosok itt mindkét oldalon játszanak: arra kérik Önt, hogy hagyja jól magát, hogy ne szakítsa meg az esetleges azonnali megoldást, és azt javasolja, hogy maradjon készen, ha további információra van szükség:

Amint láthatja, annak a valószínű eredménye, hogy bárki, aki először belekerült ebbe az átverésbe, az, hogy egy teljes ötperces időtartamot adnak a csalóknak, amely alatt a támadók megpróbálhatnak bejelentkezni a fiókjukba és átvenni azt.

A bûnözõk által a bûnözõk által a csapdába esett oldalukon használt JavaScript még olyan üzenetet is tartalmaz, amely akkor váltható ki, ha az áldozat jelszava megfelelõen mûködik, de az általuk megadott 2FA kód nem:

   A megadott bejelentkezési kód nem egyezik a telefonjára küldött kóddal. Kérjük, ellenőrizze a számot, és próbálja újra.

Az átverés vége talán a legkevésbé meggyőző rész, de mindazonáltal arra szolgál, hogy automatikusan lekerüljön az átverő oldalról, és visszakerüljön valami teljesen eredeti helyre, nevezetesen a Facebook hivatalos oldalára. Segítség Központ:

Mit kell tenni?

Még ha nem is vagy kifejezetten komoly közösségimédia-felhasználó, és még ha olyan álnéven is működik, amely nyilvánvalóan és nyilvánosan nem kapcsolódik valós identitásodhoz, online fiókjai három fő okból értékesek a kiberbűnözők számára:

• A közösségi média fiókjaihoz való teljes hozzáférés lehetővé teheti a szélhámosoknak, hogy hozzáférjenek profilja privát aspektusaihoz. Akár eladják ezeket az információkat a sötét weben, akár maguk visszaélnek vele, a kompromittálás növelheti a személyazonosság-lopás kockázatát.
• A fiókokon keresztül történő bejegyzések lehetősége lehetővé teszi, hogy a szélhámosok téves információkat és álhíreket áruljanak el az Ön jó neve alatt. Előfordulhat, hogy kirúgják a platformról, kizárják a fiókjából, vagy nyilvános bajba kerülhet, hacsak nem tudja bizonyítani, hogy fiókját feltörték.
• A kiválasztott névjegyekhez való hozzáférés azt jelenti, hogy a szélhámosok agresszíven megcélozhatják barátait és családját. A saját kapcsolattartói nemcsak sokkal nagyobb valószínűséggel látják az Ön fiókjából érkező üzeneteket, hanem nagyobb valószínűséggel komolyan is megvizsgálják őket.

Egyszerűen fogalmazva, ha beengedi a kiberbűnözőket a közösségimédia-fiókjába, akkor végül nemcsak magát, hanem barátait és családtagjait is veszélybe sodorja, sőt mindenki mást is a platformon.

Mit kell tenni?

Íme három gyorstüzelési tipp:

• TIPP 1. Vezessen nyilvántartást az Ön által használt közösségi hálózatok hivatalos „fiókja feloldása” és „a szellemi tulajdonnal kapcsolatos kihívások kezelése” oldalairól. Így soha nem kell az e-mailben küldött linkekre hagyatkoznia, hogy a jövőben megtalálja az utat. A támadók által gyakran használt trükkök közé tartoznak a kitalált szerzői jogsértések; az Általános Szerződési Feltételek kitalált megsértése (mint ebben az esetben); hamis bejelentkezésekkel kapcsolatos hamis állítások, amelyeket felül kell vizsgálnia; és egyéb hamis „problémák” a fiókjával. A szélhámosok gyakran tartalmaznak némi időnyomást, mint az ebben az átverésben állított 24 órás korlátban, további bátorításként, hogy időt takarítson meg az egyszerű kattintással.
• TIPP 2. Ne hagyja magát becsapni azzal a ténnyel, hogy a „kattints a kapcsolatfelvételhez” linkeket legitim webhelyeken tárolják. Ebben az átverésben a kezdeti kapcsolatfelvételi oldalt a Facebook üzemelteti, de ez egy csaló fiók, és az adathalász oldalakat érvényes HTTPS-tanúsítvánnyal kiegészítve a Google tárolja, de a megjelenített tartalom hamis. Manapság a tartalmat tároló cég ritkán azonos a tartalmat létrehozó és közzétevő személyekkel.
• TIPP 3. Ha kétségei vannak, ne adja ki. Soha ne érezzen nyomást, hogy kockázatot vállaljon egy tranzakció gyors befejezése érdekében, mert fél az eredménytől, ha időt szán rá megáll, Hogy Szerintem, és csak akkor connect. Ha nem biztos benne, kérjen tanácsot valakitől, akit ismer, és akiben megbízik a való életben, hogy végül ne bízzon abban az üzenet küldőjében, akiben nem biztos, hogy megbízhat. (És lásd fent az 1. TIPP-et.)

Ne feledje, hogy a hétvégén közeleg a Fekete Péntek és a Kiberhétfő, valószínűleg sok valódi ajánlatot, rengeteg csalárd ajánlatot és számtalan jó szándékú figyelmeztetést fog kapni arról, hogyan javíthatja kiberbiztonságát kifejezetten az évnek ebben a szakaszában…

…de ne feledje, hogy a kiberbiztonságot egész évben komolyan kell venni: kezdd tegnap, csináld ma, és folytasd holnap!

---