Як шахраї в соціальних мережах виграють час, щоб викрасти ваші коди 2FA

Фішингове шахрайство, яке намагається обманом змусити вас ввести справжній пароль на підробленому сайті, існує десятиліттями.

Як знають постійні читачі Naked Security, такі запобіжні заходи, як використання менеджера паролів і ввімкнення двофакторної автентифікації (2FA), можуть допомогти захистити вас від фішингових аварій, оскільки:

• Менеджери паролів пов’язують імена користувачів і паролі з певними веб-сторінками. Це ускладнює менеджерам паролів помилково видати вас на фіктивні веб-сайти, оскільки вони не можуть нічого ввести для вас автоматично, якщо вони стикаються з веб-сайтом, який вони ніколи раніше не бачили. Навіть якщо підроблений сайт є ідеальною копією оригіналу з назвою сервера, яка є достатньо близькою, щоб людське око майже не розрізнило, менеджер паролів не вдасться обдурити, оскільки він зазвичай шукає URL-адресу, всю URL-адресу. , і нічого, крім URL-адреси.
• Якщо ввімкнуто 2FA, одного лише пароля зазвичай недостатньо для входу. Коди, які використовуються системами 2FA, зазвичай працюють лише один раз, незалежно від того, надсилаються вони на ваш телефон через SMS, генеруються мобільним додатком чи обчислюються за допомогою безпечного апаратного ключа чи брелока, який ви носите окремо від комп’ютера. Кіберзлочинцю вже недостатньо знати (чи вкрасти, купити чи вгадати) лише ваш пароль, щоб помилково «довести», що він — це ви.

На жаль, ці запобіжні заходи не можуть повністю захистити вас від фішингових атак, і кіберзлочинці стають все кращими й кращими, щоб обманом змусити невинних користувачів передати їхні паролі та коди 2FA одночасно в рамках однієї атаки…

…у цей момент шахраї негайно намагаються використати комбінацію імені користувача + пароля + одноразового коду, яку вони щойно отримали, в надії ввійти досить швидко, щоб отримати доступ до вашого облікового запису, перш ніж ви зрозумієте, що відбувається щось фішингове.

Що ще гірше, шахраї часто прагнуть створити те, що ми називаємо «м’яким демонтуванням», тобто створити правдоподібне візуальне завершення своєї фішингової експедиції.

Через це часто виглядає так, ніби діяльність, яку ви щойно «схвалили», ввівши свій пароль і код 2FA (наприклад, оскарження скарги чи скасування замовлення), завершилася правильно, і тому з вашого боку не потрібно жодних подальших дій.

Таким чином зловмисники не тільки проникають у ваш обліковий запис, але й залишають у вас відчуття, що ви не підозрюєте, і навряд чи перевірите, чи справді ваш обліковий запис було зламано.

Коротка, але звивиста дорога

Ось шахрайство у Facebook, яке ми нещодавно отримали, яке намагається спрямувати вас саме на цей шлях, з різними рівнями правдоподібності на кожному етапі.

Шахраї:

• Уявіть, що ваша власна сторінка Facebook порушує умови використання Facebook. Шахраї попереджають, що це може призвести до закриття вашого облікового запису. Як ви знаєте, шум, який зараз вибухає в Twitter і навколо нього, перетворив такі питання, як перевірка облікового запису, призупинення та відновлення в гучні суперечки. Як наслідок, користувачі соціальних мереж, зрозуміло, стурбовані захистом своїх облікових записів загалом, незалежно від того, чи стурбовані вони конкретно Twitter чи ні:
  

• Заманити вас на справжню сторінку за допомогою a facebook.com URL-адреса. Обліковий запис підроблений, створений виключно для цієї конкретної шахрайської кампанії, але посилання, яке відображається в електронному листі, який ви отримуєте, справді веде до facebook.com, що зменшує ймовірність викликати підозру з боку вас або вашого фільтра спаму. Свою сторінку шахраї назвали Інтелектуальна власність (скарги щодо авторських прав дуже поширені в наші дні), і використовували офіційний логотип Meta, материнської компанії Facebook, щоб додати легітимності:
  

  

• Надайте вам URL-адресу для зв’язку з Facebook, щоб оскаржити скасування. URL-адреса вище не закінчується на facebook.com, але він починається з тексту, що робить його схожим на персоналізоване посилання форми facebook-help-nnnnnn, де шахраї стверджують, що цифри nnnnnn є унікальним ідентифікатором, який позначає ваш конкретний випадок:
  

  

• Збирайте здебільшого невинні дані про свою присутність у Facebook. Існує навіть необов’язкове поле для Додаткова інформація куди вас запросять обговорити свою справу. (Див. зображення вище.)

Тепер «доведіть» себе

На цьому етапі вам потрібно надати докази того, що ви справді є власником облікового запису, щоб шахраї сказали вам:

• Пройдіть автентифікацію за допомогою пароля. На сайті, на якому ви перебуваєте, є текст facebook-help-nnnnnnn в адресному рядку; він використовує HTTPS (безпечний HTTP, тобто відображається замок); і брендинг робить його схожим на власні сторінки Facebook:
  

  

• Надайте код 2FA, який буде додаватися до вашого пароля. Тут діалогове вікно дуже схоже на те, що використовується самим Facebook, з формулюванням, скопійованим безпосередньо з власного інтерфейсу користувача Facebook. Тут ви можете побачити фальшиве діалогове вікно (вгорі) та справжнє, яке відображатиме сам Facebook (внизу):
  

  

  

• Зачекайте до п’яти хвилин у надії, що «блокування облікового запису» буде знято автоматично. Шахраї грають тут з обох кінців, запрошуючи вас залишитися наодинці, щоб не переривати можливе негайне розв’язання, і пропонуючи вам залишатися напоготові, якщо буде потрібно додаткова інформація:

Як бачите, імовірним результатом для тих, хто потрапив у цю аферу, є те, що вони дадуть шахраям повний п’ятихвилинний вікно, протягом якого зловмисники зможуть спробувати ввійти в їхній обліковий запис і заволодіти ним.

JavaScript, який використовують злочинці на своєму мінованому сайті, навіть, здається, містить повідомлення, яке може бути активовано, якщо пароль жертви працює правильно, але код 2FA, який вони надали, ні:

   Введений вами код входу не збігається з кодом, надісланим на ваш телефон. Перевірте номер і повторіть спробу.

Завершення шахрайства є, мабуть, найменш переконливою частиною, але воно, тим не менш, слугує для того, щоб автоматично перемістити вас із шахрайського сайту та повернути вас десь цілком справжнім, а саме офіційним сайтом Facebook Центр допомоги:

Що ж робити?

Навіть якщо ви не особливо серйозний користувач соціальних мереж і навіть якщо ви працюєте під псевдонімом, який явно й публічно не пов’язує вашу особистість у реальному житті, ваші онлайн-акаунти є цінними для кіберзлочинців з трьох основних причин:

• Повний доступ до ваших облікових записів у соціальних мережах може надати шахраям доступ до приватних аспектів вашого профілю. Незалежно від того, чи вони продають цю інформацію в дарк-мережі, чи зловживають нею, її компрометація може збільшити ваш ризик викрадення особистих даних.
• Можливість публікувати повідомлення через ваші облікові записи дозволяє шахраям поширювати дезінформацію та фейкові новини під вашим добрим ім’ям. Вас можуть викинути з платформи, заблокувати у вашому обліковому записі або мати публічні проблеми, доки ви не зможете довести, що ваш обліковий запис зламано.
• Доступ до вибраних вами контактів означає, що шахраї можуть агресивно націлитися на ваших друзів і родину. Ваші власні контакти не тільки з більшою ймовірністю побачать повідомлення, які надходять із вашого облікового запису, але й більш серйозно до них придивляться.

Простіше кажучи, допускаючи кіберзлочинців до свого облікового запису в соціальних мережах, ви зрештою наражаєте на небезпеку не лише себе, але й своїх друзів, родину та навіть усіх інших користувачів платформи.

Що ж робити?

Ось три швидкі поради:

• ПОРАДА 1. Записуйте офіційні сторінки «Розблокуйте свій обліковий запис» і «Як вирішити проблеми з інтелектуальною власністю» у соціальних мережах, якими ви користуєтеся. Таким чином, вам ніколи не доведеться покладатися на посилання, надіслані електронною поштою, щоб знайти свій шлях у майбутньому. Поширені трюки, які використовують зловмисники, включають надумані порушення авторських прав; вигадані порушення Умов (як у цьому випадку); фіктивні заяви про шахрайські входи, які вам потрібно переглянути; та інші фальшиві «проблеми» з вашим обліковим записом. Шахраї часто включають певний тиск часу, як-от 24-годинний ліміт, заявлений у цьому шахрайстві, як додаткове заохочення економити час, просто клацаючи.
• ПОРАДА 2. Не обманюйте себе тим фактом, що посилання «натисніть, щоб зв’язатися» розміщені на законних сайтах. У цьому шахрайстві початкова сторінка контактів розміщується у Facebook, але це шахрайський обліковий запис, а фішингові сторінки разом із дійсним сертифікатом HTTPS розміщуються через Google, але вміст, який подається, є фіктивним. Сьогодні компанія, яка розміщує вміст, рідко збігається з особами, які його створюють і публікують.
• ПОРАДА 3. Якщо сумніваєтеся, не видавайте його. Ніколи не відчувайте тиску, щоб ризикувати, щоб швидко завершити транзакцію, тому що ви боїтеся результату, якщо вам знадобиться час, щоб СТОП, Щоб думати, а вже потім до з'єднуватися. Якщо ви не впевнені, зверніться за порадою до когось, кого ви знаєте і якому довіряєте в реальному житті, щоб ви не довіряли відправнику того самого повідомлення, якому не впевнені, що можете довіряти. (І дивіться ПОРАДУ 1 вище.)

Пам’ятайте, що на цих вихідних наближаються Чорна п’ятниця та Кіберпонеділок, імовірно, ви отримаєте багато справжніх пропозицій, багато шахрайських і будь-яку кількість попереджень про те, як покращити свою кібербезпеку саме для цієї пори року…

…але майте на увазі, що кібербезпека — це те, до чого потрібно серйозно ставитися цілий рік: почни вчора, зроби це сьогодні і продовжуй завтра!

---