Black Friday er bak oss, den fotballtingen de har hvert fjerde år er ferdig og støvet (gratulerer – spoiler alert! – til Argentina), det er sommer/vintersolverv (slett som uaktuelt)...
...og ingen ønsker å bli utestengt fra sine sosiale mediekontoer, spesielt når det er på tide å sende og motta sesonghilsener.
Så selv om vi har skrevet om denne typen phishing-svindel før, tenkte vi å presentere en betimelig påminnelse om hva slags lureri du kan forvente når skurker prøver å miste passordene dine på sosiale medier.
Vi klikket gjennom for deg
Fordi et bilde er ment å være verdt 1024 ord, vil vi vise deg en sekvens med skjermbilder fra en nylig svindel med sosiale medier som vi selv mottok.
Enkelt sagt, vi klikket gjennom slik at du ikke trenger det.
Denne startet med en e-post som later til å være på utkikk etter din online sikkerhet og sikkerhet, selv om den virkelig prøver å undergrave cybersikkerheten din fullstendig:
Selv om du kanskje har mottatt lignende e-poster fra en eller flere av nettkontoleverandørene dine tidligere, og selv om denne ikke har noen skarpe stave- eller grammatiske feil...
…om faktisk, selv om dette virkelig var en ekte e-post fra Instagram (det er det ikke!), kan du beskytte deg selv best ved å ikke klikke på noen lenker i selve e-posten.
Hvis du har ditt eget bokmerke for Instagrams hjelpesider, undersøkt og lagret når du ikke var under noe cybersikkerhetspress, kan du ganske enkelt navigere direkte til Instagram, helt alene.
På den måten unngår du pent enhver risiko for å bli feildirigert av den blå teksten (den klikkbare lenken) i e-posten, uansett om den er ekte eller falsk, fungerer eller ødelagt, trygg eller farlig.
Problemet med å klikke gjennom
Hvis du klikker deg gjennom, kanskje fordi du har det travelt, eller du er bekymret for hva som kan ha skjedd med kontoen din...
…vel, det er da problemet starter, med en falsk side som ser realistisk nok ut.
Skurkene later som om noen, antagelig noen som nyter en egen ferie i Paris, prøvde å logge på kontoen din:
Du bør være mistenksom overfor servernavnet som vises i adressefeltet i denne svindelen (vi har redigert det her, selv om det ikke var noe lignende instagram.com), men vi kan forstå hvorfor så mange brukere blir fanget av falske domener.
Det er fordi mange lovlige nettjenester gjør det så godt som umulig å vite hva du kan forvente i adressefeltet i disse dager, som Sophos-ekspert (og populær podcastgjest i Naked Security) Chester Wisniewski forklarte tilbake i Cybersecurity Awareness Month:
I denne svindelen, enten du klikker [This wasn't me] or [This was me], tar skurkene deg ned samme vei, og ber først om brukernavnet ditt:
Ordlyden har begynt å bli litt klønete på neste skjermbilde, hvor skurkene går for passordet ditt, men det er fortsatt troverdig nok:
En falsk feil
Svindlerne later som om du har gjort en feil, og ber deg ikke bare skrive inn passordet ditt en gang til, men også legge til litt mer personlig informasjon om posisjonen din:
Ikke alle phishing-svindler av denne typen bruker "passordet ditt er feil"-trikset, men det er ganske vanlig.
Vi mistenker at skurkene gjør dette fordi det fortsatt er tvilsomme sikkerhetsråd som sier: «Du kan enkelt oppdage et svindelnettsted ved å legge inn et falskt passord først; hvis nettstedet lar deg komme inn uansett, så kjenner ikke nettstedet ditt virkelige passord."
Hvis du følger dette rådet (vær så snill – ikke gjør det – det gir deg bare en falsk følelse av sikkerhet), kan du hoppe til den farlige konklusjonen at nettstedet sikkert må kjenne ditt ekte passord, og derfor må være ekte, gitt at det virker å vite at du har lagt inn feil passord.
Selvsagt kan skurkene trygt si at du tok feil passord første gang, selv om du ikke gjorde det.
Hvis du bevisst tok feil passord, kan skurkene ganske enkelt late som om de "vet" at det var feil for å fange deg til å fortsette med svindelen.
Men hvis du er sikker på at du virkelig la inn riktig passord, og derfor gjør den falske feilmeldingen deg mistenksom ...
…det er for sent, fordi skurkene allerede har svindlet deg.
Et siste spørsmål
Hvis du fortsetter, prøver skurkene å presse deg for enda en personlig informasjon, nemlig telefonnummeret ditt:
Og for å slippe deg forsiktig ut av svindelen, avslutter skurkene med å omdirigere deg til den ekte Instagram-hjemmesiden, som for å invitere deg til å bekrefte at kontoen din fortsatt fungerer som den skal:
Hva gjør jeg?
- Hold oversikt over de offisielle sidene "bekreft kontoen din" og "hvordan håndtere krenkelsesutfordringer" på de sosiale nettverkene du bruker. På den måten trenger du aldri å stole på lenker sendt via e-post for å finne veien dit i fremtiden. I tillegg til falske påloggingsadvarsler som den som vises her, bruker angripere ofte oppdiktede brudd på opphavsretten, oppdiktede brudd på kontoens vilkår og betingelser og andre falske "problemer" med kontoen din.
- Velg riktige passord. Ikke bruk det samme passordet som du gjør på andre nettsteder. Hvis du tror du kan ha gitt bort passordet ditt på en falsk side, endre det så snart du kan før skurkene gjør det. Vurder å bruke en passordbehandling hvis du ikke allerede har en.
- Slå på 2FA (tofaktorautentisering) hvis du kan. Dette betyr at brukernavnet og passordet ditt alene ikke vil være nok til å logge på, fordi du må inkludere en engangskode, enten hver gang, eller kanskje bare når du først prøver å bruke en ny enhet. Selv om dette ikke garanterer å holde skurkene ute, fordi de kan prøve å lure deg til å avsløre 2FA-koden din så vel som passordet ditt, gjør det likevel ting vanskeligere for en angriper.
- Ikke overdel. Så mye som det ser ut til å være vanlig å dele mye av livet ditt på Instagram nå for tiden, trenger du ikke gi bort alt om deg selv. Tenk også på hvem eller hva som er i bakgrunnen på bildene dine før du laster dem opp, i tilfelle du overdeler informasjon om venner, familie eller husstand ved en feiltakelse.
- Hold deg våken. Hvis en konto eller melding virker mistenkelig for deg, ikke samhandle eller svar på kontoen og ikke klikk på noen lenker de sender deg. Hvis noe virker for godt til å være sant, anta at det ER for godt til å være sant.
- Vurder å sette Instagram-kontoen din til privat. Hvis du ikke prøver å være en influencer som alle kan se, og hvis du bruker Instagram mer som en meldingsplattform for å holde kontakten med dine nære venner enn som en måte å fortelle verden om deg selv, kan det være lurt å opprette en konto privat. Bare dine følgere vil kunne se bildene og videoene dine. Gå gjennom listen over følgere regelmessig og spark i gang folk du ikke kjenner igjen eller ikke vil følge deg lenger.
Ikke sant. Slå på "Privat konto"-glidebryteren.
- Hvis du er i tvil, ikke gi den ut. Aldri hastverk med å fullføre en transaksjon eller bekrefte personlig informasjon fordi en melding har fortalt deg at du er under tidspress. Hvis du ikke er sikker, spør noen du kjenner og stoler på i det virkelige liv om råd, slik at du ikke ender opp med å stole på avsenderen av selve meldingen du ikke er sikker på at du kan stole på. (Og se det første tipset ovenfor.)
- blockchain
- coingenius
- cryptocurrency lommebøker
- kryptoverveksling
- cybersikkerhet
- nettkriminelle
- Cybersecurity
- innenriksdepartementet
- digitale lommebøker
- falsk pålogging
- brannmur
- Kaspersky
- malware
- Mcafee
- Naken sikkerhet
- NexBLOC
- phishing
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- privatliv
- Svindel
- VPN
- nettside sikkerhet
- zephyrnet
