Você já chegou perto de clicar em um link de phishing simplesmente por coincidência?
Tivemos algumas surpresas, como quando compramos um celular em uma loja clique e retire alguns anos atrás.
Tendo morado fora do Reino Unido por muitos anos antes disso, esta foi a nossa primeira compra desse negócio em particular por mais de uma década…
… mesmo assim, na manhã seguinte, recebemos uma mensagem SMS alegando ser desta mesma loja, informando que havíamos pago a mais e que um reembolso estava esperando.
Essa não foi apenas a nossa primeira interação com a Marca X por muito tempo, mas também foi o primeiro SMS (genuíno ou não) que recebemos que mencionava a Marca X.
Qual a chance de ISSO acontecer?
(Desde então, fizemos mais algumas compras de X, ironicamente incluindo outro telefone celular após a descoberta de que os telefones nem sempre funcionam bem em passeios de bicicleta, e recebemos várias outras mensagens SMS fraudulentas direcionadas a X, mas elas nunca me alinhei de forma tão convincente.)
Vamos fazer a aritmética
Irritantemente, as chances de coincidências entre fraude e vida real são surpreendentemente boas, se você fizer a aritmética.
Afinal, a chance de adivinhar os números vencedores na loteria do Reino Unido (6 bolas numeradas em 59) é quase infinitamente pequena, 1 em 45 milhões, calculada por meio da fórmula conhecida como 59C6 or 59 choose 6, o que é 59!/6!(59-6)!, que sai como 59x56x55x54x53x52/6x5x4x3x2x1 = 45,057,474.
É por isso que você tem nunca ganhou o jackpot...
…Apesar de bastante gente tem, ao longo dos muitos anos que vem acontecendo.
Da mesma forma, os criminosos de phishing não precisam mirar ou enganar Você, mas apenas para enganar alguém, e um dia, talvez, apenas talvez, esse alguém possa ser você.
Tivemos um lembrete estranho disso ontem à noite, quando estávamos sentados no sofá, lendo preguiçosamente um artigo na publicação de tecnologia O registro sobre golpes 2FA.
A primeira surpresa foi que no exato momento em que pensamos, “Ei, nós escrevemos algo assim cerca de duas semanas atrás” chegamos ao parágrafo no El Reg história que não apenas dizia isso, mas ligava diretamente ao nosso próprio artigo!
Qual a chance de ISSO acontecer?
É claro que qualquer escritor que diga que não se importa se outras pessoas notam seu trabalho ou não é quase certamente não confiável, e estamos prontos para admitir (ahem) que tiramos uma captura de tela do parágrafo relevante e a enviamos por e-mail para nós mesmos (“puramente para fins de documentação de relações públicas” foi a explicação que decidimos).
Agora fica mais estranho
Aqui é onde a coincidência de coincidências fica mais estranha.
Depois de enviar o e-mail do nosso telefone para o nosso laptop, nos movemos menos de dois metros para a nossa esquerda e nos sentamos em frente ao referido laptop para salvar a imagem anexada, apenas para descobrir que durante os dois segundos em que estávamos de pé...
…os MESMOS CROOKS DE ANTES nos enviaram outro e-mail Páginas do Facebook Golpe 2FA, contendo texto quase idêntico ao anterior:
Qual é a chance de ISSO acontecer, combinada com a chance da coincidência anterior que aconteceu enquanto estávamos lendo o artigo?
Infelizmente, dada a facilidade com que os cibercriminosos podem registrar novos nomes de domínio, configurar novos servidores e enviar milhões de e-mails em todo o mundo…
…a chance é alta o suficiente para que seja mais surpreendente se esse tipo de coincidência NUNCA acontecesse.
Pequenas mudanças no golpe
Curiosamente, esses bandidos fizeram mudanças modestas em seu esquema.
Como da última vez, eles criaram um e-mail HTML com um link clicável que parecia um URL, mesmo que o URL real ao qual estava vinculado não fosse o que aparecia no texto.
Desta vez, no entanto, o link que você viu ao passar o mouse sobre o texto azul no e-mail (o real URL de destino em vez do aparente) era realmente um link para um URL hospedado no facebook.com domínio.
Em vez de vincular diretamente de seu e-mail ao site fraudulento, com sua senha falsa e prompts 2FA, os criminosos vincularam-se a uma página do Facebook própria, dando-lhes uma facebook.com link para usar no próprio e-mail:
Este truque de um clique extra dá aos criminosos três pequenas vantagens:
- O link desonesto final não é diretamente visível para o software de filtragem de e-mail, e não aparece se você passar o mouse sobre o link em seu cliente de e-mail.
- O link do golpe atrai aparente legitimidade de aparecer no próprio Facebook.
- Clicar no link do golpe de alguma forma parece menos perigoso porque você o está visitando a partir do seu navegador, em vez de ir diretamente de um e-mail, com o qual todos fomos ensinados a ser cautelosos.
Não perdemos a ironia, como esperamos que você também não, de uma página totalmente falsa no Facebook sendo criada especificamente para nos denunciar pela suposta má qualidade de nossa própria página do Facebook!
Deste ponto em diante, o golpe segue exatamente o mesmo fluxo de trabalho que escrevemos da última vez:
Em primeiro lugar, é solicitado seu nome e outras quantidades razoáveis de informações pessoais.
Em segundo lugar, você precisa confirmar sua apelação digitando sua senha do Facebook.
Por fim, como seria de esperar ao usar sua senha, você será solicitado a inserir o código 2FA único que seu aplicativo de celular acabou de gerar ou que chegou por SMS.
É claro que, assim que você fornece cada item de dados no processo, os criminosos estão usando as informações de phishing para fazer login em tempo real como se fossem você, então eles acabam com acesso à sua conta em vez de você.
Da última vez, apenas 28 minutos se passaram entre os bandidos criando o domínio falso que eles usaram no golpe (o link que eles colocaram no próprio e-mail), o que achamos muito rápido.
Desta vez, foram apenas 21 minutos, porém, como mencionamos, o domínio falso não foi usado diretamente no e-mail falso que recebemos, mas foi colocado em uma página da Web hospedada, ironicamente, como uma página no facebook.com si.
Denunciamos a página falsa ao Facebook assim que a encontramos; a boa notícia é que agora está offline, quebrando assim a conexão entre o e-mail fraudulento e o domínio falso do Facebook:
O que fazer?
Não caia em golpes como esse.
- Não use links em e-mails para acessar páginas oficiais de “apelo” em sites de mídia social. Aprenda aonde ir e mantenha um registro local (em papel ou em seus favoritos), para que você nunca precise usar links de e-mail, sejam eles genuínos ou não.
- Verifique os URLs de e-mail com cuidado. Um link com texto que se parece com um URL não é necessariamente o URL para o qual o link direciona você. Para encontrar o verdadeiro link de destino, passe o mouse sobre o link (ou toque e segure o link em seu celular).
- Não assuma que todos os endereços da Internet com um domínio conhecido são de alguma forma seguros. Domínios como
facebook.com,outlook.comorplay.google.comsão serviços legítimos, mas nem todos que usam esses serviços podem ser confiáveis. Contas de e-mail individuais em um servidor de webmail, páginas em uma plataforma de mídia social ou aplicativos em uma loja de software online acabam hospedados por plataformas com nomes de domínio confiáveis. Mas o conteúdo fornecido por usuários individuais não é criado por essa plataforma nem verificado de forma particularmente forte (não importa quanta verificação automatizada a plataforma afirme fazer). - Verifique os nomes de domínio do site com cuidado. Cada caractere importa, e a parte comercial de qualquer nome de servidor está no final (o lado direito em idiomas europeus que vão da esquerda para a direita), não no início. Se eu possuo o domínio
dodgy.exampleentão eu posso colocar qualquer nome de marca que eu goste no início, comovisa.dodgy.exampleorwhitehouse.gov.dodgy.example. Esses são simplesmente subdomínios do meu domínio fraudulento e tão não confiáveis quanto qualquer outra parte dododgy.example. - Se o nome de domínio não estiver claramente visível em seu celular, considere esperar até que você possa usar um navegador de desktop comum, que normalmente tem muito mais espaço na tela para revelar a verdadeira localização de um URL.
- Considere um gerenciador de senhas. Os gerenciadores de senhas associam nomes de usuário e senhas de login a serviços e URLs específicos. Se você acabar em um site impostor, por mais convincente que pareça, seu gerenciador de senhas não será enganado porque reconhece o site por seu URL, não por sua aparência.
- Não tenha pressa para inserir seu código 2FA. Use a interrupção em seu fluxo de trabalho (por exemplo, o fato de você precisar desbloquear seu telefone para acessar o aplicativo gerador de código) como um motivo para verificar esse URL uma segunda vez, apenas para ter certeza, para ter certeza.
- Considere denunciar páginas fraudulentas ao Facebook. Irritantemente, você precisa ter uma conta no Facebook própria para fazer isso (usuários que não são do Facebook não podem enviar relatórios para ajudar a comunidade maior, o que é uma pena) ou ter um amigo que enviará o relatório para você . Mas nossa experiência nesse caso foi que a denúncia funcionou, porque o Facebook logo bloqueou o acesso à página ofensiva.
Lembre-se, quando se trata de dados pessoais, especialmente senhas e códigos 2FA…
...Em caso de dúvida/Não divulgue.
- 2FA
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- Segurança nua
- NexBLOC
- Phishing
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- política de privacidade
- Golpe
- VPN
- a segurança do website
- zefirnet
