ユーザーをだまして実際のパスワードを偽のサイトに入力させようとするフィッシング詐欺は、何十年も前から存在しています。
Naked Security の定期的な読者はご存知でしょうが、パスワード マネージャーを使用したり、2 要素認証 (XNUMXFA) を有効にしたりするなどの予防措置を講じることで、フィッシングによる事故からユーザーを保護できます。その理由は次のとおりです。
- パスワード マネージャーは、ユーザー名とパスワードを特定の Web ページに関連付けます。 これにより、パスワード マネージャーが誤って偽の Web サイトに誘導することが難しくなります。これは、パスワード マネージャーがこれまでに見たことのない Web サイトに直面した場合に、自動的に何かを入力することができないためです。 偽のサイトが元のサイトのピクセル パーフェクトなコピーであり、サーバー名が人間の目にはほとんど見分けがつかないほど近い場合でも、パスワード マネージャーはだまされることはありません。 、そして URL だけです。
- 2FA がオンになっていると、通常、パスワードだけではログインできません。 2FA システムで使用されるコードは、SMS 経由で携帯電話に送信されるか、モバイル アプリで生成されるか、コンピュータとは別に携帯する安全なハードウェア ドングルまたはキーフォブで計算されるかに関係なく、通常 XNUMX 回だけ機能します。 サイバー犯罪者がパスワードだけを知っている (または盗む、購入する、または推測する) だけでは、自分があなたであることを偽って「証明」することはできなくなりました。
残念ながら、これらの予防策ではフィッシング攻撃を完全に防ぐことはできません。サイバー犯罪者は、罪のないユーザーをだましてパスワードと 2FA コードの両方を同時に引き渡すようにますます巧妙になり、同じ攻撃の一環として…
…その時点で、詐欺師はすぐに手に入れたばかりのユーザー名 + パスワード + ワンタイム コードの組み合わせを使用しようとします。これは、何かフィッシングが行われていることに気付く前に、すぐにログインしてアカウントにアクセスできるようにするためです。
さらに悪いことに、詐欺師は、私たちが「ソフト ディスマウント」と呼んでいるものを作成することを目的としていることがよくあります。これは、フィッシングの遠征に信じられないほどの視覚的な結論を作成することを意味します。
これにより、パスワードと 2FA コードを入力して「承認」したアクティビティ (苦情への異議申し立てや注文のキャンセルなど) が正しく完了したように見えることがよくあります。したがって、それ以上のアクションは必要ありません。
したがって、攻撃者はあなたのアカウントに侵入するだけでなく、疑いを持たず、アカウントが本当にハイジャックされたかどうかを確認するためにフォローアップする可能性は低いと感じさせます.
短く曲がりくねった道
これは、私たちが最近受け取った Facebook 詐欺です。この詐欺は、段階ごとに異なるレベルの信憑性で、まさにその道をたどろうとします。
詐欺師:
- 自分の Facebook ページが Facebook の利用規約に違反しているふりをする。 詐欺師は、これによりアカウントが閉鎖される可能性があると警告しています。 ご存じのように、現在 Twitter やその周辺で発生している大騒ぎは、アカウントの確認、停止、復帰などの問題を騒々しい論争に変えています。 その結果、ソーシャル メディア ユーザーは、Twitter に特に関心があるかどうかにかかわらず、自分のアカウントを保護すること全般について当然のことながら懸念しています。
- 本物のページに誘う
facebook.com
URL。 アカウントは偽物で、この特定の詐欺キャンペーンのために完全に設定されていますが、受信した電子メールに表示されるリンクは実際にfacebook.com
、あなたまたはスパムフィルターからの疑いを引き付ける可能性が低くなります. 詐欺師は自分のページにタイトルを付けました 知的財産 (最近では著作権侵害の申し立てが非常に一般的です)、合法性を加えるために、Facebook の親会社である Meta の公式ロゴを使用しています。
- Facebook に連絡してキャンセルに異議を申し立てるための URL を提供します。 上記の URL は
facebook.com
、ただし、フォームのパーソナライズされたリンクのように見えるテキストで始まりますfacebook-help-nnnnnn
、詐欺師は数字がnnnnnn
特定のケースを示す一意の識別子です。
- Facebook でのプレゼンスに関する、大部分が無害に聞こえるデータを収集します。 オプションのフィールドもあります 追加情報 あなたがあなたの主張を主張するように招待されている場所。 (上の画像を参照してください。)
今、自分自身を「証明」する
この時点で、あなたが実際にアカウントの所有者であることを証明する必要があるため、詐欺師は次のように指示します。
- パスワードで認証します。 あなたが見ているサイトにはテキストがあります
facebook-help-nnnnnnn
アドレスバーに; HTTPS (安全な HTTP、つまり南京錠が表示されます) を使用します。 ブランディングにより、Facebook の独自のページに似ています。
- パスワードに使用する 2FA コードを提供します。 ここでのダイアログは、Facebook 自体で使用されているものと非常によく似ており、言葉遣いは Facebook のユーザー インターフェイスから直接コピーされています。 ここでは、偽のダイアログ (上) と、Facebook 自体によって表示される実際のダイアログ (下) を確認できます。
- 「アカウント ブロック」が自動的に解除されることを期待して、最大 XNUMX 分間待ちます。 詐欺師は、ここで両極端を演じています。可能性のある即時の解決を妨げないように、十分に一人でいるように誘い、さらなる情報が要求された場合に備えて手元にとどまる必要があることを提案します。
ご覧のとおり、最初にこの詐欺に引っかかった人は、攻撃者が自分のアカウントにログインして乗っ取ろうとする XNUMX 分間の猶予を詐欺師に与えてしまう可能性があります。
犯罪者がブービー トラップ サイトで使用する JavaScript には、被害者のパスワードが正しく機能しても、提供された 2FA コードが機能しない場合にトリガーされるメッセージが含まれているようです。
入力したログイン コードが、電話に送信されたものと一致しません。 番号を確認して、もう一度お試しください。
詐欺の最後はおそらく最も説得力のない部分ですが、それにもかかわらず、詐欺サイトから自動的に移動し、完全に本物の場所、つまり Facebook の公式サイトに戻ることができます。 ヘルプセンター:
何をするか?
あなたが特に真剣なソーシャル メディア ユーザーでなくても、実際の身元と明らかにリンクしていない偽名で活動している場合でも、あなたのオンライン アカウントはサイバー犯罪者にとって次の XNUMX つの主な理由で価値があります。
- ソーシャル メディア アカウントへのフル アクセスにより、詐欺師はあなたのプロフィールのプライベートな部分にアクセスできるようになる可能性があります。 この情報がダーク Web で販売されているか、自分で悪用されているかにかかわらず、情報が侵害されると個人情報の盗難のリスクが高まる可能性があります。
- あなたのアカウントを介して投稿する機能により、詐欺師はあなたの名の下に誤った情報やフェイク ニュースを広めることができます。 アカウントが侵入されたことを証明できない限り、プラットフォームから追い出されたり、アカウントからロックアウトされたり、公共のトラブルに巻き込まれたりする可能性があります.
- 選択した連絡先にアクセスできるということは、詐欺師があなたの友人や家族を積極的に標的にする可能性があることを意味します。 あなた自身の連絡先は、あなたのアカウントからのメッセージを見る可能性がはるかに高いだけでなく、それらを真剣に見る可能性も高くなります.
簡単に言えば、サイバー犯罪者が自分のソーシャル メディア アカウントに侵入するのを許してしまうと、最終的に自分自身だけでなく、友人や家族、さらにはプラットフォーム上のすべての人を危険にさらすことになります。
何をするか?
ここでは、次の XNUMX つの簡単なヒントを紹介します。
- ヒント 1. 使用しているソーシャル ネットワークの公式の「アカウントのロック解除」ページと「知的財産に関する課題への対処方法」ページを記録しておいてください。 そうすれば、メールで送信されたリンクに頼る必要がなくなります。 攻撃者が使用する一般的な手口には、でっちあげた著作権侵害が含まれます。 利用規約のでっちあげの違反 (この場合のように); あなたが確認する必要がある不正なログインの偽の主張; およびアカウントに関するその他の偽の「問題」。 詐欺師は、この詐欺で主張されている 24 時間の制限のように、クリックするだけで時間を節約するためのさらなる奨励として、時間のプレッシャーをしばしば含んでいます。
- ヒント 2. 「クリックして連絡する」リンクが正当なサイトでホストされているという事実に惑わされないでください。 この詐欺では、最初の連絡先ページは Facebook によってホストされていますが、それは不正なアカウントであり、フィッシング ページはホストされており、有効な HTTPS 証明書を完備しており、Google 経由で提供されていますが、提供されるコンテンツは偽物です。 最近では、コンテンツをホストしている会社が、コンテンツを作成して投稿する個人と同じになることはめったにありません。
- TIP 3. 疑わしい場合は、渡さないでください。 時間がかかる場合の結果を恐れているため、トランザクションを迅速に完了するためにリスクを冒すようにプレッシャーを感じることはありません。 stopへ 考える、そしてその後にのみ 接続する. 確信が持てない場合は、実際に知っていて信頼できる人にアドバイスを求めてください。そうすれば、信頼できるかどうかわからないメッセージの送信者を信頼してしまうことはありません。 (上記のヒント 1 も参照してください。)
覚えておいてください、今週末はブラック フライデーとサイバー マンデーが迫っています。おそらく、多くの本物のオファー、詐欺的なオファー、そして特にこの時期に向けてサイバーセキュリティを改善する方法についての善意の警告を受け取ることになるでしょう…
…しかし、サイバーセキュリティは一年中真剣に取り組むべきものであることを心に留めておいてください。 昨日から始めて、今日やって、明日も続ける!