הונאות דיוג שמנסות להערים עליך להכניס את הסיסמה האמיתית שלך לאתר מזויף קיימות כבר עשרות שנים.
כפי שקוראים רגילים של Naked Security יודעים, אמצעי זהירות כגון שימוש במנהל סיסמאות והפעלת אימות דו-גורמי (2FA) יכולים לעזור להגן עליך מפני תקלות דיוג, מכיוון:
- מנהלי סיסמאות מקשרים שמות משתמש וסיסמאות לדפי אינטרנט ספציפיים. זה מקשה על מנהלי סיסמאות להסגיר אותך לאתרים מזויפים בטעות, מכיוון שהם לא יכולים להכניס לך שום דבר באופן אוטומטי אם הם מתמודדים עם אתר שמעולם לא ראו קודם לכן. גם אם האתר המזויף הוא עותק מושלם לפיקסלים של המקור, עם שם שרת שקרוב מספיק שכמעט ולא ניתן להבחין בו לעין האנושית, מנהל הסיסמאות לא יתעתע כי הוא בדרך כלל מחפש את כתובת האתר, כל כתובת האתר , ושום דבר מלבד כתובת האתר.
- עם 2FA מופעל, הסיסמה שלך לבדה בדרך כלל לא מספיקה כדי להיכנס. הקודים המשמשים את מערכות 2FA פועלים בדרך כלל פעם אחת בלבד, בין אם הם נשלחים לטלפון שלך באמצעות SMS, נוצרים על ידי אפליקציה לנייד, או מחושבים על ידי דונגל חומרה מאובטח או שלט מפתח שאתה נושא בנפרד מהמחשב שלך. ידיעה (או גניבה, קנייה או ניחוש) רק את הסיסמה שלך כבר לא מספיקה עבור פושע רשת כדי "להוכיח" באופן כוזב שהוא אתה.
למרבה הצער, אמצעי הזהירות האלה לא יכולים לחסן אותך לחלוטין מפני התקפות דיוג, ופושעי סייבר הולכים ומשתפרים בהונאת משתמשים תמימים למסור את הסיסמאות שלהם ואת קודי ה-2FA שלהם בו-זמנית, כחלק מאותה מתקפה...
...בשלב זה הנוכלים מנסים מיד להשתמש בשילוב של שם משתמש + סיסמה + קוד חד פעמי שהם זה עתה תפסו, בתקווה להיכנס מהר מספיק כדי להיכנס לחשבון שלך לפני שתבין שיש משהו מזוייף.
גרוע מכך, הנוכלים ישאפו לעתים קרובות ליצור את מה שאנו אוהבים לכנות "ירידה רכה", כלומר הם יוצרים מסקנה ויזואלית אמינה למסע הדיוג שלהם.
לרוב זה נראה כאילו הפעילות שזה עתה "אישרת" על ידי הזנת הסיסמה וקוד ה-2FA שלך (כגון ערעור תלונה או ביטול הזמנה) הסתיימה כהלכה, ולכן אין צורך בפעולה נוספת מצידך.
כך התוקפים לא רק נכנסים לחשבון שלך, אלא גם משאירים אותך בחוסר חשד וסביר שלא תעקוב כדי לראות אם החשבון שלך באמת נחטף.
הדרך הקצרה אך המפותלת
הנה תרמית פייסבוק שקיבלנו לאחרונה שמנסה להוביל אותך בדיוק בנתיב הזה, עם רמות שונות של אמינות בכל שלב.
הרמאים:
- העמידו פנים שעמוד הפייסבוק שלכם מפר את תנאי השימוש של פייסבוק. הנוכלים מזהירים שזה עלול להיסגר לחשבון שלך. כידוע, הברוהה המתפרצת כעת בטוויטר וסביבתה הפכה נושאים כמו אימות חשבון, השעיה והחזרה למחלוקות רועשות. כתוצאה מכך, משתמשי מדיה חברתית מודאגים באופן מובן מהגנה על החשבונות שלהם באופן כללי, בין אם הם מודאגים ספציפית מטוויטר או לא:
"אזהרת" המייל הלא רצוי שמתחיל הכל. - לפתות אותך לעמוד אמיתי עם א
facebook.comכתובת אתר. החשבון מזויף, מוגדר כולו עבור מסע ההונאה המסוים הזה, אבל הקישור שמופיע במייל שתקבל אכן מובילfacebook.com, מה שמפחית את הסיכוי לעורר חשד, ממך או ממסנן הספאם שלך. הנוכלים קראו לדף שלהם קניין רוחני (תלונות על זכויות יוצרים נפוצות מאוד בימינו), והשתמשו בלוגו הרשמי של Meta, חברת האם של פייסבוק, על מנת להוסיף נופך של לגיטימיות:
דף חשבון משתמש הונאה עם שם וסמל בעלי מראה רשמי. - ספק לך כתובת אתר ליצירת קשר עם פייסבוק כדי לערער על הביטול. כתובת האתר שלמעלה לא מסתיימת ב
facebook.com, אבל זה מתחיל בטקסט שגורם לזה להיראות כמו קישור מותאם אישית של הטופסfacebook-help-nnnnnn, שם טוענים הנוכלים שהספרותnnnnnnהם מזהה ייחודי המציין את המקרה הספציפי שלך:
אתר ההתחזות מתיימר להיות דף "מותאם אישית" לגבי תלונתך. - אסוף נתונים שנשמעים תמימים במידה רבה על הנוכחות שלך בפייסבוק. יש אפילו שדה אופציונלי עבור מידע נוסף שבו אתה מוזמן לטעון את הטענה שלך. (ראה תמונה למעלה.)
עכשיו "תוכיח" את עצמך
בשלב זה, אתה צריך לספק הוכחה שאתה אכן הבעלים של החשבון, אז הנוכלים אומרים לך:
- אימות באמצעות הסיסמה שלך. האתר שבו אתה נמצא מכיל את הטקסט
facebook-help-nnnnnnnבשורת הכתובת; הוא משתמש ב-HTTPS (HTTP מאובטח, כלומר יש מנעול שמוצג); והמיתוג גורם לזה להיראות דומה לדפים של פייסבוק עצמה:
הנוכלים מבקשים ממך "להוכיח" את תעודת הזהות שלך באמצעות הסיסמה שלך. - ספק את קוד 2FA שיתאים לסיסמה שלך. הדיאלוג כאן דומה מאוד לזה שבו משתמשת פייסבוק עצמה, כשהנוסח מועתק ישירות מממשק המשתמש של פייסבוק עצמה. כאן אתה יכול לראות את הדו-שיח המזויף (למעלה) ואת זה האמיתי שיוצג על ידי פייסבוק עצמה (למטה):
ואז הם מבקשים את קוד ה-2FA שלך, בדיוק כמו שפייסבוק הייתה עושה. 
תיבת הדו-שיח האמיתית של 2FA בשימוש על ידי פייסבוק עצמה. - המתן עד חמש דקות בתקווה ש"חסימת החשבון" תוסר אוטומטית. הנוכלים משחקים כאן בשני הקצוות, בכך שהם מזמינים אותך לעזוב לבד כדי לא להפריע לפתרון מיידי אפשרי, ומציעים לך להישאר בהישג יד למקרה שיתבקש מידע נוסף:
כפי שאתה יכול לראות, התוצאה הסבירה לכל מי שנשאב להונאה הזו מלכתחילה היא שהם יתנו לנוכלים חלון מלא של חמש דקות שבמהלכן התוקפים יוכלו לנסות להיכנס לחשבון שלהם ולהשתלט עליו.
נראה כי ה-JavaScript המשמש את הפושעים באתר המלכוד שלהם אפילו מכיל הודעה שניתן להפעיל אם הסיסמה של הקורבן פועלת כהלכה, אך קוד ה-2FA שהם סיפקו לא:
קוד הכניסה שהזנת אינו תואם לזה שנשלח לטלפון שלך. אנא בדוק את המספר ונסה שוב.
סופה של ההונאה הוא אולי החלק הפחות משכנע, אבל בכל זאת הוא מסייע להרחיק אותך אוטומטית מהאתר ההונאה ולהחזיר אותך למקום אמיתי לגמרי, כלומר הרשמי של פייסבוק מרכז עזרה:
מה לעשות?
גם אם אינך משתמש רציני במיוחד במדיה חברתית, וגם אם אתה פועל תחת שם בדוי שאינו מקשר בבירור ובפומבי לזהותך האמיתית, החשבונות המקוונים שלך חשובים לפושעי סייבר משלוש סיבות עיקריות:
- גישה מלאה לחשבונות המדיה החברתית שלך יכולה לתת לנוכלים גישה להיבטים הפרטיים של הפרופיל שלך. בין אם הם מוכרים את המידע הזה ברשת האפלה, או משתמשים בו לרעה בעצמם, הפשרה שלו עלולה להגביר את הסיכון שלך לגניבת זהות.
- היכולת לפרסם דרך החשבונות שלך מאפשרת לנוכלים לרכל מידע מוטעה וחדשות מזויפות תחת שמך הטוב. אתה עלול בסופו של דבר להעיף מהפלטפורמה, להינעל מחוץ לחשבון שלך, או להסתבך בצרות ציבוריות, אלא אם ועד שתוכל להראות שהחשבון שלך נפרץ.
- גישה לאנשי הקשר שבחרת פירושה שהנוכלים יכולים לכוון באגרסיביות לחברים ולמשפחה שלך. יש סיכוי גבוה יותר שאנשי הקשר שלך יראו הודעות שמגיעות מהחשבון שלך, אלא גם סביר יותר שיסתכלו עליהם ברצינות.
במילים פשוטות, על ידי הכנסת פושעי סייבר לחשבון המדיה החברתית שלך, אתה מעמיד בסופו של דבר לא רק את עצמך אלא גם את החברים והמשפחה שלך, ואפילו את כל השאר בפלטפורמה, בסיכון.
מה לעשות?
להלן שלושה טיפים לשריפה מהירה:
- טיפ 1. שמור תיעוד של דפי "פתיחת חשבונך" ו"כיצד להתמודד עם אתגרי קניין רוחני" הרשמיים של הרשתות החברתיות בהן אתה משתמש. כך, לעולם לא תצטרך להסתמך על קישורים שנשלחים בדוא"ל כדי למצוא את דרכך בעתיד. טריקים נפוצים שבהם משתמשים תוקפים כוללים הפרות זכויות יוצרים שנרקחו; הפרות מומצאות של תנאים והגבלות (כמו במקרה זה); טענות מזויפות של כניסות הונאה שאתה צריך לבדוק; ו"בעיות" מזויפות אחרות עם החשבון שלך. הנוכלים כוללים לעתים קרובות לחץ זמן מסוים, כמו מגבלת 24 השעות הנטענת בהונאה זו, כעידוד נוסף לחסוך זמן על ידי לחיצה פשוטה.
- טיפ 2. אל תטעה מהעובדה שקישורי "הקלק ליצירת קשר" מתארחים באתרים לגיטימיים. בהונאה זו, עמוד יצירת הקשר הראשוני מתארח על ידי פייסבוק, אך זהו חשבון הונאה, ודפי ההתחזות מתארחים, עם אישור HTTPS תקף, באמצעות גוגל, אך התוכן המוגש הוא מזויף. כיום, החברה המארחת את התוכן היא לעתים רחוקות זהה לאנשים שיוצרים ומפרסמים אותו.
- טיפ 3. אם יש לך ספק, אל תמסור אותו. לעולם אל תרגיש לחץ לקחת סיכונים כדי להשלים עסקה במהירות כי אתה מפחד מהתוצאה אם תקדיש זמן להפסיק, כדי לחשוב, ורק אז ל לְחַבֵּר. אם אינך בטוח, בקש עצה ממישהו שאתה מכיר וסומך עליו בחיים האמיתיים, כדי שלא תסמוך בסופו של דבר על השולח של אותו הודעה שאינך בטוח שתוכל לסמוך עליו. (וראה טיפ 1 למעלה.)
זכרו, עם יום שישי השחור והסייבר מאנדיי שיגיעו בסוף השבוע הקרוב, סביר להניח שתקבלו המון הצעות אמיתיות, הרבה הצעות הונאה וכל מספר אזהרות מכוונות היטב לגבי איך לשפר את אבטחת הסייבר שלכם במיוחד לתקופה זו של השנה...
...אבל אנא זכרו שאבטחת סייבר היא משהו שצריך לקחת ברצינות כל השנה: להתחיל אתמול, לעשות את זה היום, ולהמשיך כך מחר!
![S3 Ep121: האם אתה יכול להיפרץ ואז להעמיד אותך לדין על כך? [אודיו + טקסט]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text-300x156.png "S3 Ep121: האם אתה יכול להיפרץ ואז להעמיד אותך לדין על כך? [אודיו + טקסט]")
