האם אי פעם התקרבת באמת ללחוץ על קישור דיוג פשוט בצירוף מקרים?
היו לנו כמה הפתעות, כמו למשל כשקנינו טלפון נייד מחנות קליק ואסוף לפני כמה שנים.
לאחר שגרתי מחוץ לבריטניה במשך שנים רבות לפני כן, זו הייתה הרכישה הראשונה שלנו מעסק מסוים זה במשך יותר מעשור...
...עם זאת כבר למחרת בבוקר קיבלנו הודעת SMS הטוענת שהם מהחנות הזו בדיוק, המודיעה לנו ששילמנו יתר על המידה ושהחזר ממתין.
לא רק שזו הייתה האינטראקציה הראשונה שלנו עם מותג X במשך עידן ועידנים, זה היה גם ה-SMS הראשון אי פעם (מקורי או אחר) שקיבלנו אי פעם שצוין במותג X.
מה הסיכוי שזה יקרה?
(מאז, ביצענו עוד כמה רכישות מ-X, למרבה האירוניה כולל טלפון נייד נוסף בעקבות הגילוי שטלפונים לא תמיד מצליחים במעשי אופניים, והיו לנו עוד כמה הודעות הונאה ב-SMS המכוונות ל-X, אבל הן מעולם לא התייצבו בצורה כל כך אמינה.)
בוא נעשה את החשבון
למרבה הצער, הסיכוי של הונאה-פוגשת צירופי מקרים מהחיים האמיתיים מפתיע לטובה, אם עושים את החשבון.
אחרי הכל, הסיכוי לנחש את המספרים הזוכים בהגרלת בריטניה (6 כדורים ממוספרים מתוך 59) הוא 1 ל-45 מיליון קטנטן כמעט לאין שיעור, המחושב באמצעות הנוסחה הידועה בשם 59C6 or 59 choose 6, שהוא 59!/6!(59-6)!, שיוצא כ 59x56x55x54x53x52/6x5x4x3x2x1 = 45,057,474.
זו הסיבה אתה מעולם לא זכתה בקופה…
…למרות ש לא מעט אנשים יש, במשך השנים הרבות שזה הולך.
באותו אופן, נוכלי דיוג לא צריכים למקד או להערים אתה, אלא רק כדי להערים מישהו, ויום אחד, אולי, רק אולי, שמישהו עשוי להיות אתה.
הייתה לנו תזכורת מוזרה לזה רק אתמול בלילה, כשישבנו על הספה וקראנו בחוסר מעש מאמר בפרסום טכנולוגי הקופה על הונאת 2FA.
ההפתעה הראשונה הייתה שבדיוק ברגע שחשבנו, "היי, כתבנו משהו כזה לפני כשבועיים," הגענו לפסקה ב- אל רג סיפור שלא רק אמר את זה, אלא קשור ישירות למאמר שלנו!
מה הסיכוי שזה יקרה?
כמובן, כמעט בטוח שאין לסמוך על כל כותב שאומר שלא מפריע לו אם אנשים אחרים ישימו לב לעבודתם או לא, ואנחנו מוכנים להודות (אהממ) שצילמנו צילום מסך של הפסקה הרלוונטית ושלחנו אותה באימייל לעצמנו ("למטרות תיעוד יחסי ציבור בלבד" היה ההסבר עליו החלטנו).
עכשיו זה נהיה יותר מוזר
כאן צירוף המקרים של צירופי המקרים נעשה מוזר יותר.
לאחר ששלחנו את המייל מהטלפון ללפטופ שלנו, זזנו פחות משני מטרים לשמאלנו, והתיישבנו מול הנייד האמור לשמור את התמונה המצורפת, רק כדי לגלות ש במהלך השניות שעמדנו...
... אותם נוכלים מאוד כמו קודם שלחו לנו דוא"ל נוסף דפי פייסבוק תרמית 2FA, המכילה טקסט כמעט זהה לזה הקודם:
מה הסיכוי שזה יקרה, בשילוב עם הסיכוי לצירוף המקרים הקודם שקרה בדיוק בזמן שקראנו את המאמר?
למרבה הצער, לאור הקלות שבה פושעי סייבר יכולים לרשום שמות דומיין חדשים, להקים שרתים חדשים ולפוצץ מיליוני מיילים ברחבי העולם...
...הסיכוי מספיק גבוה שיהיה מפתיע יותר אם סוג זה של צירוף מקרים לעולם לא יקרה.
שינויים קטנים בהונאה
מעניין שהנוכלים האלה ביצעו שינויים צנועים בהונאה שלהם.
כמו בפעם הקודמת, הם יצרו אימייל HTML עם קישור שניתן ללחוץ עליו שנראה בעצמו כמו כתובת URL, למרות שכתובת ה-URL שאליה היא קישרת לא הייתה זו שהופיעה בטקסט.
אולם הפעם, הקישור שראית אם עברת מעל הטקסט הכחול במייל (ה ממשי יעד כתובת אתר ולא זה הנראה לעין) היה באמת קישור לכתובת אתר המתארחת ב- facebook.com תחום.
במקום לקשר ישירות מהמייל שלהם לאתר ההונאה שלהם, עם הסיסמה המזויפת שלו והנחיות 2FA, הפושעים קישרו לעמוד פייסבוק משלהם, ובכך נתנו להם facebook.com קישור לשימוש בדוא"ל עצמו:
הטריק הזה בלחיצה אחת נוספת נותן לפושעים שלושה יתרונות קטנים:
- הקישור המפוקפק האחרון אינו גלוי ישירות לתוכנת סינון דוא"ל, ואינו יופיע אם אתה מרחף מעל הקישור בלקוח הדוא"ל שלך.
- קישור ההונאה שואב לגיטימציה לכאורה מהופעה בפייסבוק עצמה.
- לחיצה על קישור ההונאה מרגישה איכשהו פחות מסוכנת כי אתה מבקר בו מהדפדפן שלך במקום ללכת אליו ישירות מאימייל, שכולנו לימדו להיזהר ממנו.
לא פספסנו את האירוניה, כפי שאנו מקווים שגם אתם לא תהיו, של עמוד פייסבוק מזויף לחלוטין שהוקם במיוחד כדי להוקיע אותנו על האיכות הגרועה לכאורה של דף הפייסבוק שלנו!
מנקודה זו ואילך, ההונאה עוקבת בדיוק אחר אותה זרימת עבודה כמו זו שכתבנו בפעם הקודמת:
ראשית, אתה מתבקש לציין את שמך וכמויות אחרות שנשמעות סבירות של מידע אישי.
שנית, עליך לאשר את הערעור שלך על ידי הזנת סיסמת הפייסבוק שלך.
לבסוף, כפי שניתן לצפות בעת השימוש בסיסמה שלך, אתה מתבקש להכניס את קוד ה-2FA החד-פעמי שיצרה הרגע אפליקציית הטלפון הנייד שלך, או שהגיע באמצעות SMS.
כמובן, ברגע שאתה מספק כל פריט נתונים בתהליך, הנוכלים משתמשים במידע המדוגם כדי להתחבר בזמן אמת כאילו הם אתה, כך שהם מקבלים בסופו של דבר גישה לחשבון שלך במקום אתה.
בפעם הקודמת חלפו רק 28 דקות בין הנוכלים שיצרו את הדומיין המזויף שבו השתמשו בהונאה (הקישור שהם שמו במייל עצמו), שלדעתנו היה די מהיר.
הפעם, חלפו רק 21 דקות, אם כי, כפי שציינו, הדומיין המזויף לא שימש ישירות באימייל המזויף שקיבלנו, אלא הוצב במקום בדף אינטרנט מקוון שהתארח, באופן אירוני, כדף ב facebook.com עצמו.
דיווחנו על הדף המזויף לפייסבוק ברגע שמצאנו אותו; החדשות הטובות הן שעכשיו זה נדפק במצב לא מקוון, ובכך נשבר הקשר בין דואר ההונאה לדומיין המזויף של פייסבוק:
מה לעשות?
אל תיפול להונאות כמו זו.
- אל תשתמש בקישורים בדוא"ל כדי להגיע לדפי "ערעור" רשמיים באתרי מדיה חברתית. למד לאן ללכת בעצמך, ושמור תיעוד מקומי (על הנייר או בסימניות שלך), כך שלעולם לא תצטרך להשתמש בקישורי אינטרנט בדוא"ל, בין אם הם מקוריים או לא.
- בדוק היטב את כתובות הדוא"ל. קישור עם טקסט שנראה בעצמו כמו כתובת אתר הוא לא בהכרח כתובת ה-URL שאליה הקישור מפנה אותך. כדי למצוא את קישור היעד האמיתי, רחף מעל הקישור עם העכבר (או גע והחזק את הקישור בטלפון הנייד שלך).
- אל תניח שכל כתובות האינטרנט עם דומיין ידוע בטוחות איכשהו. תחומים כגון
facebook.com,outlook.comorplay.google.comהם שירותים לגיטימיים, אך לא ניתן לסמוך על כל מי שמשתמש בשירותים אלה. חשבונות דוא"ל בודדים בשרת דואר אינטרנט, דפים בפלטפורמת מדיה חברתית או אפליקציות בחנות תוכנה מקוונת, כולם מתארחים בסופו של דבר בפלטפורמות עם שמות דומיין מהימנים. אבל התוכן שמסופק על ידי משתמשים בודדים לא נוצר על ידי אותה פלטפורמה ולא נבדק בצורה חזקה במיוחד (לא משנה כמה אימות אוטומטי הפלטפורמה מתיימרת לעשות). - בדוק היטב את שמות הדומיין של האתר. כל תו חשוב, והחלק העסקי של כל שם שרת נמצא בסוף (הצד הימני בשפות אירופאיות שעובר משמאל לימין), לא בהתחלה. אם אני הבעלים של הדומיין
dodgy.exampleאז אני יכול לשים כל שם מותג שאני אוהב בהתחלה, כגוןvisa.dodgy.exampleorwhitehouse.gov.dodgy.example. אלה פשוט תת-דומיינים של הדומיין המזויף שלי, ובלתי מהימנים בדיוק כמו כל חלק אחר שלdodgy.example. - אם שם הדומיין אינו גלוי בבירור בטלפון הנייד שלך, שקול לחכות עד שתוכל להשתמש בדפדפן שולחני רגיל, שבדרך כלל יש בו הרבה יותר שטח מסך כדי לחשוף את המיקום האמיתי של כתובת אתר.
- שקול מנהל סיסמאות. מנהלי סיסמאות מקשרים שמות משתמש וסיסמאות כניסה לשירותים וכתובות URL ספציפיים. אם תגיעו לאתר מתחזים, לא משנה עד כמה הוא נראה משכנע, מנהל הסיסמאות שלכם לא יתעתע כי הוא מזהה את האתר לפי כתובת האתר שלו, לא לפי המראה שלו.
- אל תמהר להכניס את קוד ה-2FA שלך. השתמש בשיבוש בזרימת העבודה שלך (למשל העובדה שאתה צריך לפתוח את הטלפון שלך כדי לגשת לאפליקציית מחולל הקודים) כסיבה לבדוק את כתובת האתר הזו פעם שנייה, רק כדי להיות בטוח, כדי להיות בטוח.
- שקול לדווח על דפי הונאה לפייסבוק. למרבה הצער, אתה צריך שיהיה לך חשבון פייסבוק משלך כדי לעשות זאת (משתמשים שאינם פייסבוק אינם יכולים לשלוח דוחות כדי לעזור לקהילה הגדולה יותר, וחבל), או שיהיה לך חבר שישלח לך את הדוח . אבל הניסיון שלנו במקרה הזה היה שהדיווח על כך אכן עבד, מכיוון שפייסבוק חסמה במהרה את הגישה לדף הפוגע.
זכור, כשמדובר בנתונים אישיים, במיוחד סיסמאות וקודי 2FA...
...אם יש ספק/אל תמסור אותו.
![S3 Ep130: פתח את דלתות המפרץ, HAL [שמע + טקסט]](https://platoblockchain.com/wp-content/uploads/2023/04/s3-ep130-open-the-garage-bay-doors-hal-audio-text-300x157.png "S3 Ep130: פתח את דלתות המפרץ, HAL [שמע + טקסט]")
![S3 Ep117: משבר הקריפטו שלא היה (ופרידה לנצח מ-Win 7) [אודיו + טקסט]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png "S3 Ep117: משבר הקריפטו שלא היה (ופרידה לנצח מ-Win 7) [אודיו + טקסט]")
![S3 Ep125: כאשר לחומרת האבטחה יש חורי אבטחה [שמע + טקסט]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep125-when-security-hardware-has-security-holes-audio-text-300x156.png "S3 Ep125: כאשר לחומרת האבטחה יש חורי אבטחה [שמע + טקסט]")
