Мошенники Facebook 2FA возвращаются — на этот раз всего за 21 минуту

Вы когда-нибудь были действительно близки к тому, чтобы щелкнуть фишинговую ссылку просто по совпадению?

У нас было несколько сюрпризов, например, когда мы купили мобильный телефон в магазине «нажми и собери» пару лет назад.

До этого мы много лет жили за пределами Великобритании, и это была наша первая покупка в этом конкретном бизнесе за более чем десятилетие…

… тем не менее, уже на следующее утро мы получили SMS-сообщение, в котором утверждалось, что оно из этого самого магазина, в котором сообщалось, что мы переплатили и что ожидается возврат средств.

Это было не только наше первое взаимодействие с Брендом X за долгие годы, но и первое в истории SMS (настоящее или нет), которое мы когда-либо получали с упоминанием Бренда X.

Какова вероятность того, что ЭТО произойдет?

(С тех пор мы сделали еще несколько покупок у Х, по иронии судьбы, включая еще один мобильный телефон после того, как выяснилось, что телефоны не всегда хорошо работают в велосипедных прангах, и мы получили еще несколько мошеннических СМС-сообщений, нацеленных на Х, но они никогда не выстраивался в очередь так правдоподобно.)

Давайте сделаем арифметику

Досадно, что шансы совпадения мошенничества и реальной жизни на удивление высоки, если вы сделаете арифметику.

В конце концов, шанс угадать выигрышные номера в британской лотерее (6 пронумерованных шаров из 59) составляет почти бесконечно малую долю 1 из 45 миллионов, вычисленную по формуле, известной как 59C6 or 59 choose 6, Которая является 59!/6!(59-6)!, который выходит как 59x56x55x54x53x52/6x5x4x3x2x1 = 45,057,474.

Вот почему вы имеете никогда не выигрывал джекпот…

…Несмотря на то довольно много людей, на протяжении многих лет это происходит.

Таким же образом, фишинговым мошенникам не нужно нацеливаться или обманывать являетесь, а просто обмануть кто-то, и однажды, может быть, только может быть, этим кем-то будешь ты.

У нас было странное напоминание об этом только прошлой ночью, когда мы сидели на диване, лениво читая статью в техническом издании. Регистр о мошенничестве с 2FA.

Первым сюрпризом было то, что в тот самый момент, когда мы подумали, «Эй, мы написали что-то подобное около двух недель назад», мы достигли абзаца в Он рег история, которая не только говорила об этом, но и напрямую связывала к нашей собственной статье!

Какова вероятность того, что ЭТО произойдет?

Конечно, любому писателю, который говорит, что его не беспокоит, заметят ли другие люди его работу или нет, почти наверняка нельзя доверять, и мы готовы признать (гм), что мы сделали скриншот соответствующего абзаца и отправили его по электронной почте. себе («исключительно для целей PR-документации» — так мы решили объяснить).

Теперь это становится более странным

Вот где совпадение совпадений становится еще более странным.

Отправив электронное письмо с нашего телефона на наш ноутбук, мы переместились менее чем на два метра влево и сели перед указанным ноутбуком, чтобы сохранить прикрепленное изображение, только чтобы обнаружить, что пару секунд мы стояли...

… ТАКИЕ ЖЕ МОШЕННИКИ, КАК РАНЬШЕ, прислали нам еще один Facebook Страницы Афера 2FA, содержащая почти идентичный текст с предыдущим:

Какова вероятность того, что ЭТО произойдет, в сочетании с вероятностью предыдущего совпадения, которое только что произошло, пока мы читали статью?

К сожалению, учитывая легкость, с которой киберпреступники могут регистрировать новые доменные имена, настраивать новые серверы и рассылать миллионы электронных писем по всему миру…

…шанс достаточно высок, и было бы еще более удивительным, если бы такого совпадения НИКОГДА не было.

Небольшие изменения в мошенничестве

Интересно, что эти мошенники внесли скромные изменения в свою аферу.

Как и в прошлый раз, они создали электронное письмо в формате HTML с интерактивной ссылкой, которая сама выглядела как URL-адрес, хотя фактический URL-адрес, на который она ссылалась, не был тем, который появился в тексте.

На этот раз, однако, ссылка, которую вы видите, если наводите курсор на синий текст в письме (кнопка фактического соединения целевой URL, а не кажущийся) действительно был ссылкой на URL, размещенный на facebook.com домена.

Вместо прямой ссылки со своей электронной почты на свой мошеннический сайт с его поддельным паролем и подсказками 2FA, преступники ссылались на собственную страницу Facebook, тем самым давая им facebook.com ссылка для использования в самом письме:

Этот трюк с одним дополнительным кликом дает преступникам три небольших преимущества:

• Последняя хитрая ссылка не видна напрямую программному обеспечению фильтрации электронной почты, и не появляется при наведении курсора на ссылку в почтовом клиенте.
• Мошенническая ссылка имеет очевидную легитимность от появления на самом Facebook.
• Нажатие на мошенническую ссылку почему-то кажется менее опасным потому что вы посещаете его из своего браузера, а не идете туда прямо из электронной почты, с чем нас всех учили быть осторожными.

Мы не упустили из виду иронию, как мы надеемся, что и вы тоже, что совершенно фальшивая Страница Facebook создана специально для того, чтобы осудить нас за якобы низкое качество нашей собственной Страницы Facebook!

С этого момента афера следует точно такому же рабочему процессу, как тот, который мы описали в прошлый раз:

Во-первых, вас просят указать ваше имя и другую личную информацию в разумных пределах.

Во-вторых, вам необходимо подтвердить свое обращение, введя свой пароль от Facebook.

Наконец, как и следовало ожидать при использовании пароля, вас попросят ввести одноразовый код 2FA, который только что сгенерировал ваше приложение для мобильного телефона или который пришел по SMS.

Конечно, как только вы предоставляете каждый элемент данных в процессе, мошенники используют фишинговую информацию для входа в систему в режиме реального времени, как если бы они были вами, поэтому они получают доступ к вашей учетной записи вместо вас.

В прошлый раз между мошенниками, создавшими поддельный домен, который они использовали в мошенничестве (ссылка, которую они разместили в самом электронном письме), прошло всего 28 минут, что, по нашему мнению, было довольно быстро.

На этот раз это была всего 21 минута, хотя, как мы уже упоминали, поддельный домен не использовался непосредственно в поддельном электронном письме, которое мы получили, а вместо этого был размещен на онлайн-странице, размещенной, как это ни парадоксально, как Страница на facebook.com себя.

Мы сообщили о поддельной Странице в Facebook, как только обнаружили ее; хорошая новость заключается в том, что теперь он отключен от сети, тем самым разорвав связь между мошенническим электронным письмом и поддельным доменом Facebook:

Что делать?

Не попадайтесь на подобные уловки.

• Не используйте ссылки в электронных письмах для доступа к официальным страницам «апелляций» в социальных сетях. Узнайте, куда идти, и ведите локальный учет (на бумаге или в своих закладках), чтобы вам никогда не приходилось использовать веб-ссылки в электронной почте, независимо от того, подлинные они или нет.
• Внимательно проверяйте URL-адреса электронной почты. Ссылка с текстом, который сам по себе выглядит как URL-адрес, не обязательно является URL-адресом, на который ведет ссылка. Чтобы найти настоящую целевую ссылку, наведите указатель мыши на ссылку (или нажмите и удерживайте ссылку на мобильном телефоне).
• Не думайте, что все интернет-адреса с известным доменом каким-то образом безопасны. Такие домены как facebook.com, outlook.com or play.google.com являются законными услугами, но не всем, кто использует эти услуги, можно доверять. Отдельные учетные записи электронной почты на сервере веб-почты, страницы в социальных сетях или приложения в онлайн-магазине программного обеспечения — все это в конечном итоге размещается на платформах с доверенными доменными именами. Но контент, предоставляемый отдельными пользователями, не создается и не особо тщательно проверяется этой платформой (независимо от того, насколько автоматизированная проверка выполняется платформой).
• Внимательно проверьте доменные имена веб-сайтов. Каждый символ имеет значение, и бизнес-часть любого имени сервера находится в конце (правая часть в европейских языках, которые идут слева направо), а не в начале. Если я владею доменом dodgy.example тогда я могу указать любое понравившееся мне название бренда в начале, например visa.dodgy.example or whitehouse.gov.dodgy.example. Это просто поддомены моего мошеннического домена, и они так же ненадежны, как и любая другая часть dodgy.example.
• Если доменное имя нечетко видно на вашем мобильном телефоне, подождите, пока вы не сможете использовать обычный настольный браузер, который обычно имеет гораздо больше места на экране, чтобы показать истинное местоположение URL-адреса.
• Рассмотрим менеджер паролей. Менеджеры паролей связывают имена пользователей и пароли для входа в систему с определенными службами и URL-адресами. Если вы окажетесь на сайте-самозванце, каким бы убедительным он ни выглядел, ваш менеджер паролей не будет обманут, потому что он распознает сайт по его URL-адресу, а не по внешнему виду.
• Не спешите вводить код 2FA. Используйте сбой в рабочем процессе (например, тот факт, что вам нужно разблокировать телефон, чтобы получить доступ к приложению генератора кода) в качестве причины проверить этот URL-адрес во второй раз, просто чтобы быть уверенным, чтобы быть уверенным.
• Подумайте о том, чтобы сообщить о мошеннических страницах в Facebook. Досадно, что для этого вам нужно иметь собственную учетную запись Facebook (пользователи, не являющиеся пользователями Facebook, не могут отправлять отчеты, чтобы помочь большему сообществу, что очень жаль) или иметь друга, который отправит отчет для вас. . Но наш опыт в этом случае показал, что сообщение об этом сработало, потому что Facebook вскоре заблокировал доступ к Странице-нарушителю.

Помните, когда дело доходит до личных данных, особенно паролей и кодов 2FA…

...Если сомневаетесь/не выдавайте.

---