„Autentificare suspectă” își îndreaptă jocul – aveți grijă de Crăciun

Vinerea neagră a trecut în urmă, chestia aia cu fotbalul pe care o au o dată la patru ani este făcută și prăfuită (felicitari – alertă spoiler! – în Argentina), este solstițiul de vară/iarnă (ștergeți ca inaplicabil)…

…și nimeni nu vrea să fie blocat de conturile lor de rețele sociale, mai ales când este timpul pentru a trimite și a primi felicitări sezoniere.

Așadar, deși am mai scris despre acest tip de înșelătorie de tip phishing, ne-am gândit să vă reamintim în timp util tipul de șmecherie la care vă puteți aștepta atunci când escrocii încearcă să-ți piardă parolele rețelelor sociale.

Am făcut clic pentru tine

Deoarece se presupune că o imagine valorează 1024 de cuvinte, vă vom arăta o secvență de capturi de ecran dintr-o înșelătorie recentă pe rețelele sociale pe care noi înșine am primit-o.

Mai simplu spus, am făcut clic, astfel încât să nu fie nevoie.

Acesta a început cu un e-mail care pretinde că are grijă de siguranța și securitatea dvs. online, deși chiar încearcă să vă submineze complet securitatea cibernetică:

Chiar dacă este posibil să fi primit e-mailuri asemănătoare de la unul sau mai mulți furnizori de conturi online în trecut și chiar dacă acesta nu are erori de ortografie sau gramaticale flagrante...

… de fapt, chiar dacă acesta ar fi într-adevăr un e-mail autentic de la Instagram (nu este!), te poți proteja cel mai bine pur și simplu nu faceți clic pe niciun link din e-mailul în sine.

Dacă aveți propriul marcaj pentru paginile de ajutor ale Instagram, cercetate și salvate atunci când nu erați sub nicio presiune de securitate cibernetică, puteți pur și simplu să navigați la Instagram direct, singur.

În acest fel, eviți orice risc de a fi direcționat greșit de textul albastru (linkul pe care se poate face clic) din e-mail, indiferent dacă este real sau fals, funcționează sau rupt, sigur sau periculos.

Problema cu clicul

Dacă faceți clic, poate pentru că vă grăbiți sau pentru că sunteți îngrijorat de ce s-ar fi putut întâmpla cu contul dvs....

… ei bine, atunci încep necazul, cu o pagină falsă care pare suficient de realistă.

Escrocii pretind că cineva, probabil cineva care se bucură de o vacanță proprie la Paris, a încercat să se conecteze la contul tău:

Ar trebui să fiți suspicios cu privire la numele serverului care apare în bara de adrese în această înșelătorie (l-am redactat aici, deși nu a fost deloc asemănător instagram.com), dar putem înțelege de ce atât de mulți utilizatori sunt prinși de domenii false.

Asta este pentru ca O mulțime de servicii online legitime fac ca în zilele noastre să știi la ce să te aștepți în bara de adrese, în calitate de expert Sophos (și invitat popular al podcastului Naked Security) Chester Wisniewski a explicat înapoi în Luna de conștientizare a securității cibernetice:

În această înșelătorie, indiferent dacă faceți clic [This wasn't me] or [This was me], escrocii te duc pe aceeași cale, cerându-ți mai întâi numele de utilizator:

Formularea a început să devină puțin stângace pe următorul ecran, unde escrocii caută parola dvs., dar este încă destul de credibil:

O greșeală falsă

Escrocii pretind că ai făcut o greșeală, cerându-ți nu numai să introduci parola a doua oară, ci și să adaugi puțin mai multe informații personale despre locația ta:

Nu orice înșelătorie de tip phishing de acest fel folosește trucul „parola ta este greșită”, dar este destul de comun.

Bănuim că escrocii fac acest lucru pentru că există încă sfaturi de securitate dubioase care spun: „Puteți detecta cu ușurință un site de escrocherie introducând în mod deliberat o parolă falsă mai întâi; dacă site-ul oricum vă permite să intri, atunci evident că site-ul nu știe parola ta reală.”

Dacă urmați acest sfat (vă rog să nu faceți – vă dă întotdeauna un fals sentiment de securitate), s-ar putea să ajungeți la concluzia periculoasă că site-ul trebuie să vă cunoască cu siguranță parola reală și, prin urmare, trebuie să fie autentică, având în vedere că pare să știi că ai introdus parola greșită.

Desigur, escrocii pot spune cu siguranță că ai greșit parola prima dată, chiar dacă nu ai făcut-o.

Dacă ați greșit în mod deliberat parola, escrocii pot pur și simplu să pretindă că „știu” că a fost greșit pentru a vă prinde în capcană să continuați cu escrocheria.

Dar dacă ești sigur că ai introdus cu adevărat parola corectă și, prin urmare, mesajul de eroare fals te face suspicios...

…e prea târziu, pentru că escrocii te-au înșelat deja.

O ultima intrebare

Dacă continui, atunci escrocii încearcă să te strângă pentru încă o informație personală, și anume numărul tău de telefon:

Și pentru a te elibera ușor de înșelătorie, escrocii termină prin a te redirecționa către pagina de pornire Instagram autentică, ca și cum ar fi să te invite să confirmi că contul tău funcționează în continuare corect:

Ce să fac?

• Păstrați o evidență a paginilor oficiale „verificați-vă contul” și „cum să faceți față provocărilor privind încălcarea drepturilor” din rețelele sociale pe care le utilizați. În acest fel, nu trebuie să vă bazați niciodată pe linkurile trimise prin e-mail pentru a vă găsi drumul în viitor. Pe lângă avertismentele de conectare false, cum ar fi cel afișat aici, atacatorii folosesc adesea încălcări ale drepturilor de autor inventate, încălcări inventate ale Termenilor și condițiilor contului dvs. și alte „probleme” false cu contul dvs.
• Alegeți parolele potrivite. Nu utilizați aceeași parolă ca și pe orice alte site-uri. Dacă credeți că este posibil să vă fi dat parola pe un site fals, schimbați-o cât mai curând posibil înainte ca escrocii să o facă. Luați în considerare utilizarea unui manager de parole dacă nu aveți deja unul.
• Activați 2FA (autentificare cu doi factori) dacă puteți. Aceasta înseamnă că doar numele de utilizator și parola nu vor fi suficiente pentru a vă autentifica, deoarece va trebui să includeți un cod unic, fie de fiecare dată, fie poate doar atunci când încercați prima dată să utilizați un dispozitiv nou. Deși acest lucru nu garantează că îi împiedicați pe escrocii, deoarece aceștia ar putea încerca să vă păcălească să vă dezvăluiți codul 2FA, precum și parola, totuși, îngreunează lucrurile pentru un atacator.
• Nu exagerați. Oricât de mult pare să fie obișnuit să împărtășești o mare parte din viața ta pe Instagram în zilele noastre, nu trebuie să dai totul despre tine. De asemenea, gândiți-vă la cine sau ce este în fundalul fotografiilor dvs. înainte de a le încărca, în cazul în care, din greșeală, distribuiți informații despre prietenii, familia sau gospodăria dvs.
• Stai vigilent. Dacă un cont sau un mesaj vi se pare suspect, nu interacționați și nu răspundeți la cont și nu faceți clic pe niciun link pe care vi le trimit. Dacă ceva pare prea frumos pentru a fi adevărat, presupune că ESTE prea frumos pentru a fi adevărat.
• Luați în considerare configurarea contului de Instagram la privat. Dacă nu încerci să fii un influencer pe care toată lumea să-l poată vedea și dacă folosești Instagram mai mult ca o platformă de mesagerie pentru a păstra legătura cu prietenii tăi apropiați decât ca o modalitate de a spune lumii despre tine, poate vrei să-ți faci cont. privat. Numai urmăritorii dvs. vor putea să vă vadă fotografiile și videoclipurile. Examinați-vă lista de urmăritori în mod regulat și dați startul persoanelor pe care nu le recunoașteți sau pe care nu doriți să vă mai urmărească.

• Dacă aveți îndoieli, nu o dați. Nu vă grăbiți niciodată să finalizați o tranzacție sau să confirmați informații personale, deoarece un mesaj v-a spus că sunteți sub presiunea timpului. Dacă nu ești sigur, cere sfat pe cineva pe care îl cunoști și în care ai încredere în viața reală, ca să nu ajungi să ai încredere în expeditorul mesajului în care nu ești sigur că poți avea încredere. (Și vezi primul sfat de mai sus.)

---