Как мошенники в социальных сетях покупают время, чтобы украсть ваши коды 2FA

Мошенничество с фишингом, которое пытается заставить вас ввести ваш настоящий пароль на поддельный сайт, существует уже несколько десятилетий.

Как знают постоянные читатели Naked Security, такие меры предосторожности, как использование менеджера паролей и включение двухфакторной аутентификации (2FA), могут помочь защитить вас от фишинга, потому что:

• Менеджеры паролей связывают имена пользователей и пароли с определенными веб-страницами. Это затрудняет для менеджеров паролей возможность ошибочно выдать вас на поддельные веб-сайты, потому что они не могут автоматически вводить что-либо для вас, если сталкиваются с веб-сайтом, который никогда раньше не видели. Даже если поддельный сайт является точной копией оригинала с точностью до пикселя, с именем сервера, которое достаточно близко, чтобы быть почти неразличимым для человеческого глаза, менеджер паролей не будет обманут, потому что обычно он ищет URL-адрес, весь URL-адрес. и ничего, кроме URL.
• При включенной двухфакторной аутентификации одного пароля обычно недостаточно для входа в систему. Коды, используемые системами 2FA, обычно работают только один раз, независимо от того, отправляются ли они на ваш телефон через SMS, генерируются мобильным приложением или вычисляются с помощью защищенного аппаратного ключа или брелока, который вы носите отдельно от своего компьютера. Зная (или крадя, покупая или угадывая) только ваш пароль, киберпреступнику уже недостаточно, чтобы ложно «доказать», что он — вы.

К сожалению, эти меры предосторожности не могут полностью защитить вас от фишинговых атак, и киберпреступники все лучше и лучше обманывают невинных пользователей, заставляя их одновременно передавать свои пароли и коды 2FA в рамках одной и той же атаки…

… в этот момент мошенники немедленно пытаются использовать комбинацию имени пользователя + пароля + одноразового кода, которую они только что получили, в надежде войти в систему достаточно быстро, чтобы получить доступ к вашей учетной записи, прежде чем вы поймете, что происходит что-то мошенническое.

Хуже того, мошенники часто стремятся создать то, что нам нравится называть «мягким спешиванием», что означает создание правдоподобного визуального завершения своей фишинговой экспедиции.

Это часто создает впечатление, что действие, которое вы только что «одобрили», введя свой пароль и код 2FA (например, оспаривание жалобы или отмена заказа), было выполнено правильно, и поэтому с вашей стороны не требуется никаких дальнейших действий.

Таким образом, злоумышленники не только проникают в вашу учетную запись, но и оставляют вас без подозрений и вряд ли будут проверять, действительно ли ваша учетная запись была взломана.

Короткая, но извилистая дорога

Вот афера Facebook, которую мы недавно получили, которая пытается вести вас именно по этому пути, с разным уровнем правдоподобия на каждом этапе.

Мошенники:

• Представьте, что ваша собственная страница Facebook нарушает условия использования Facebook. Мошенники предупреждают, что это может привести к закрытию вашей учетной записи. Как вы знаете, шумиха, которая в настоящее время разгорается в Твиттере и вокруг него, превратила такие вопросы, как проверка, приостановка и восстановление аккаунта, в шумные споры. В результате пользователи социальных сетей по понятным причинам беспокоятся о защите своих учетных записей в целом, независимо от того, беспокоят они конкретно Twitter или нет:
  

• Заманить вас на реальную страницу с facebook.com URL. Учетная запись является поддельной, созданной исключительно для этой конкретной мошеннической кампании, но ссылка, которая появляется в полученном вами электронном письме, действительно ведет к facebook.com, что снижает вероятность подозрений со стороны вас или вашего спам-фильтра. Мошенники назвали свою страницу Интеллектуальная собственность (жалобы на нарушение авторских прав очень распространены в наши дни) и использовали официальный логотип Meta, материнской компании Facebook, чтобы добавить легитимности:
  

  

• Предоставить вам URL-адрес для связи с Facebook, чтобы обжаловать отмену. URL-адрес выше не заканчивается на facebook.com, но начинается с текста, который выглядит как персонализированная ссылка вида facebook-help-nnnnnn, где мошенники утверждают, что цифры nnnnnn являются уникальным идентификатором, обозначающим ваш конкретный случай:
  

  

• Собирайте в основном невинно звучащие данные о вашем присутствии в Facebook. Есть даже необязательное поле для Дополнительная информация где вас приглашают аргументировать ваше дело. (См. изображение выше.)

Теперь «докажи» себя

На этом этапе вам необходимо предоставить некоторые доказательства того, что вы действительно являетесь владельцем учетной записи, поэтому мошенники затем говорят вам:

• Авторизуйтесь со своим паролем. На сайте, на котором вы находитесь, есть текст facebook-help-nnnnnnn в адресной строке; он использует HTTPS (защищенный HTTP, т.е. показывается замок); и брендинг делает его похожим на собственные страницы Facebook:
  

  

• Укажите код 2FA, который будет использоваться вместе с вашим паролем. Диалог здесь очень похож на тот, который используется самой Facebook, с формулировкой, скопированной непосредственно из собственного пользовательского интерфейса Facebook. Здесь вы можете увидеть поддельный диалог (вверху) и настоящий диалог, который будет отображаться самим Facebook (внизу):
  

  

  

• Подождите до пяти минут в надежде, что «блокировка аккаунта» может быть снята автоматически. Мошенники играют здесь на обе стороны, предлагая вам уйти в покое, чтобы не прерывать возможное немедленное решение, и предлагая вам оставаться под рукой на случай, если будет запрошена дополнительная информация:

Как вы можете видеть, вероятным результатом для любого, кто был втянут в эту аферу, в первую очередь является то, что они дадут мошенникам полное пятиминутное окно, в течение которого злоумышленники могут попытаться войти в свою учетную запись и завладеть ею.

JavaScript, используемый преступниками на их заминированном сайте, даже содержит сообщение, которое может быть вызвано, если пароль жертвы работает правильно, но код 2FA, который они предоставили, не работает:

   Введенный код входа не совпадает с кодом, отправленным на ваш телефон. Проверьте номер и повторите попытку.

Конец мошенничества, возможно, является наименее убедительной частью, но, тем не менее, он служит для того, чтобы автоматически переместить вас с мошеннического сайта и вернуть в совершенно подлинное место, а именно на официальный сайт Facebook. Справочный центр:

Что делать?

Даже если вы не являетесь особенно серьезным пользователем социальных сетей и даже если вы действуете под псевдонимом, который явно и публично не связан с вашей реальной личностью, ваши онлайн-аккаунты представляют ценность для киберпреступников по трем основным причинам:

• Полный доступ к вашим учетным записям в социальных сетях может дать мошенникам доступ к личным аспектам вашего профиля. Независимо от того, продают ли они эту информацию в темной сети или злоупотребляют ею, ее компрометация может увеличить риск кражи личных данных.
• Возможность публиковать сообщения через ваши учетные записи позволяет мошенникам распространять дезинформацию и фальшивые новости под вашим добрым именем. В конечном итоге вас могут выкинуть с платформы, заблокировать вашу учетную запись или вызвать общественные проблемы, если и до тех пор, пока вы не докажете, что ваша учетная запись была взломана.
• Доступ к выбранным вами контактам означает, что мошенники могут агрессивно атаковать ваших друзей и семью. Ваши собственные контакты с гораздо большей вероятностью не только увидят сообщения, приходящие из вашей учетной записи, но и с большей вероятностью серьезно их изучат.

Проще говоря, позволяя киберпреступникам войти в вашу учетную запись в социальной сети, вы в конечном итоге подвергаете риску не только себя, но и своих друзей и семью, и даже всех остальных на платформе.

Что делать?

Вот три быстрых совета:

• СОВЕТ 1. Ведите учет официальных страниц «разблокировать учетную запись» и «как справиться с проблемами интеллектуальной собственности» социальных сетей, которые вы используете. Таким образом, вам никогда не придется полагаться на ссылки, отправленные по электронной почте, чтобы найти дорогу туда в будущем. Общие уловки, используемые злоумышленниками, включают сфабрикованные нарушения авторских прав; придуманные нарушения Правил и условий (как в данном случае); фиктивные заявления о мошеннических входах в систему, которые вам необходимо проверить; и другие поддельные «проблемы» с вашей учетной записью. Мошенники часто включают в себя некоторую нехватку времени, как в 24-часовом ограничении, заявленном в этой афере, в качестве дополнительного поощрения сэкономить время, просто нажав на кнопку.
• СОВЕТ 2. Не верьте тому факту, что ссылки «щелчок и контакт» размещены на законных сайтах. В этом мошенничестве первоначальная контактная страница размещается на Facebook, но это мошенническая учетная запись, а фишинговые страницы размещаются вместе с действительным сертификатом HTTPS через Google, но отображаемый контент является поддельным. В наши дни компания, размещающая контент, редко совпадает с людьми, создающими и публикующими его.
• СОВЕТ 3. Если сомневаетесь, не выдавайте. Никогда не чувствуйте себя обязанным рисковать, чтобы быстро завершить транзакцию, потому что вы боитесь результата, если вы потратите время на это. остановитьдо think, и только потом к соединяться. Если вы не уверены, попросите совета у того, кого вы знаете и кому доверяете в реальной жизни, чтобы не довериться отправителю того самого сообщения, которому вы не уверены, что можете доверять. (И см. СОВЕТ 1 выше.)

Помните, что в предстоящие выходные «Черная пятница» и «Киберпонедельник» вы, вероятно, получите много настоящих предложений, много мошеннических и любое количество благонамеренных предупреждений о том, как улучшить вашу кибербезопасность специально для этого времени года…

…но имейте в виду, что к кибербезопасности нужно относиться серьезно круглый год: начни вчера, сделай сегодня и держи в том же духе завтра!

---