试图诱骗您将真实密码输入虚假网站的网络钓鱼诈骗已经存在了几十年。
正如 Naked Security 的普通读者所知,使用密码管理器和启用双因素身份验证 (2FA) 等预防措施有助于保护您免受网络钓鱼事故的侵害,因为:
- 密码管理器将用户名和密码与特定网页相关联。 这使得密码管理员很难错误地将您引诱到虚假网站,因为如果他们面对一个他们以前从未见过的网站,他们无法自动为您输入任何内容。 即使假网站是原始网站的像素完美副本,服务器名称足够接近,人眼几乎无法区分,密码管理器也不会被愚弄,因为它通常会查找 URL,整个 URL ,只有 URL。
- 启用 2FA 后,仅凭密码通常不足以登录。 2FA 系统使用的代码通常只能使用一次,无论它们是通过短信发送到您的手机、由移动应用程序生成,还是由您与计算机分开携带的安全硬件加密狗或密钥卡计算得出。 仅知道(或窃取、购买或猜测)您的密码已不足以让网络罪犯错误地“证明”他们就是您。
不幸的是,这些预防措施不能使您完全免受网络钓鱼攻击,网络犯罪分子越来越擅长诱骗无辜用户同时交出他们的密码和 2FA 代码,作为同一攻击的一部分……
…此时,骗子立即尝试使用他们刚刚掌握的用户名 + 密码 + 一次性代码的组合,希望在您意识到有任何钓鱼行为之前快速登录以进入您的帐户。
更糟糕的是,骗子通常会以创建我们喜欢称之为“软卸载”的方式为目标,这意味着他们会为他们的网络钓鱼探险创建一个可信的视觉结论。
这通常会使您刚刚通过输入密码和 2FA 代码“批准”的活动(例如对投诉提出异议或取消订单)看起来好像已正确完成,因此您无需采取进一步行动。
因此,攻击者不仅会进入您的帐户,还会让您感到不可疑,不太可能跟进以查看您的帐户是否真的被劫持了。
短暂而曲折的道路
这是我们最近收到的一个 Facebook 骗局,它试图引导您走上这条路,每个阶段的可信度都不同。
骗子:
- 假装您自己的 Facebook 页面违反了 Facebook 的使用条款。 骗子警告说,这可能会导致您的帐户被关闭。 如你所知,目前推特上和周围爆发的骚动已经将账户验证、暂停和恢复等问题变成了嘈杂的争论。 因此,社交媒体用户普遍关心保护他们的帐户是可以理解的,无论他们是否特别关心 Twitter:
不请自来的电子邮件“警告”开启了这一切。 - 引诱你到一个真实的页面
facebook.com网址。 该帐户是假的,完全是为这个特定的诈骗活动而设置的,但您收到的电子邮件中显示的链接确实会导致facebook.com,使其不太可能引起您或您的垃圾邮件过滤器的怀疑。 骗子给他们的页面起了标题 知识产权 (版权投诉现在很普遍),并使用了Facebook母公司Meta的官方标识,以增加合法性:
带有官方名称和图标的欺诈性用户帐户页面。 - 为您提供联系 Facebook 的 URL,以针对取消提出申诉。 上面的 URL 不以
facebook.com, 但它以使其看起来像表单的个性化链接的文本开头facebook-help-nnnnnn,骗子声称这些数字nnnnnn是表示您的特定案例的唯一标识符:
钓鱼网站伪装成关于您投诉的“个性化”页面。 - 收集关于您的 Facebook 状态的大部分听起来无害的数据。 甚至还有一个可选字段 附加信息 邀请您就案件进行辩论的地方。 (见上图。)
现在“证明”自己
此时,你需要提供一些证据证明你确实是账户的所有者,所以骗子会告诉你:
- 使用您的密码进行身份验证。 您所在的网站有文字
facebook-help-nnnnnnn在地址栏中; 它使用 HTTPS(安全 HTTP,即显示挂锁); 并且品牌使它看起来类似于 Facebook 自己的页面:
骗子要求您通过密码“证明”您的身份。 - 提供与密码一起使用的 2FA 代码。 这里的对话框与 Facebook 自己使用的非常相似,其措辞直接从 Facebook 自己的用户界面复制而来。 在这里,您可以看到假对话框(顶部)和 Facebook 本身显示的真实对话框(底部):
然后他们会要求您提供 2FA 代码,就像 Facebook 一样。 
Facebook 自己使用的真正的 2FA 对话框。 - 等待最多五分钟,希望“帐户阻止”可以自动删除。 骗子在这里玩两头,邀请您独自离开,以免打断可能的即时解决方案,并建议您留在手边,以防需要进一步的信息:
如您所见,对于首先卷入此骗局的任何人来说,可能的结果是他们会给骗子一个完整的五分钟窗口,在此期间攻击者可以尝试登录他们的帐户并接管它。
犯罪分子在他们的诱杀网站上使用的 JavaScript 甚至似乎包含一条消息,如果受害者的密码正确但他们提供的 2FA 代码不正确,则可以触发该消息:
您输入的登录代码与发送到您手机的登录代码不匹配。 请检查号码并重试。
骗局的结尾可能是最没有说服力的部分,但它仍然可以自动将您从骗局站点转移到完全真实的地方,即 Facebook 的官方网站 帮助中心:
怎么办呢?
即使您不是一个特别认真的社交媒体用户,即使您使用的化名不会明显和公开地链接回您的现实生活身份,您的在线帐户对网络犯罪分子来说仍然很有价值,原因主要有以下三个:
- 对您的社交媒体帐户的完全访问权限可能使骗子能够访问您个人资料的隐私部分。 无论他们是在暗网上出售这些信息,还是自己滥用这些信息,其妥协都可能会增加您身份被盗用的风险。
- 通过您的帐户发帖的能力让骗子以您的好名声兜售错误信息和假新闻。 您最终可能会被踢出平台,被锁定在您的帐户之外,或者陷入公共麻烦,除非并且直到您可以证明您的帐户被盗用。
- 访问您选择的联系人意味着骗子可以攻击您的朋友和家人。 您自己的联系人不仅更有可能看到来自您帐户的消息,而且更有可能认真查看它们。
简而言之,让网络犯罪分子进入您的社交媒体帐户,最终不仅会让您自己,还会让您的朋友和家人,甚至平台上的其他所有人都处于危险之中。
怎么办呢?
这里有三个快速提示:
- TIP 1. 记录您使用的社交网络的官方“解锁您的帐户”和“如何应对知识产权挑战”页面。 这样一来,您以后就再也不需要依赖通过电子邮件发送的链接来找到去那里的路了。 攻击者常用的技巧包括捏造版权侵权; 捏造违反条款和条件的行为(如本案); 您需要审查的欺诈性登录虚假声明; 以及您帐户的其他虚假“问题”。 骗子通常会施加一些时间压力,例如在该骗局中声称的 24 小时限制,以进一步鼓励您通过简单地点击来节省时间。
- 提示 2. 不要被“点击联系”链接托管在合法站点这一事实所欺骗。 在这个骗局中,初始联系页面由 Facebook 托管,但它是一个欺诈帐户,钓鱼页面由谷歌托管,并附有有效的 HTTPS 证书,但提供的内容是虚假的。 如今,托管内容的公司很少与创建和发布内容的个人相同。
- 提示 3. 如果有疑问,请不要说出来。 永远不要感到有压力去冒险快速完成交易,因为如果你花时间去做,你会害怕结果 停止, 至 认为, 然后才到 联接. 如果您不确定,请向您在现实生活中认识和信任的人寻求建议,这样您就不会最终信任您不确定是否可以信任的信息的发件人。 (参见上面的提示 1。)
请记住,随着本周末即将到来的黑色星期五和网络星期一,您可能会收到很多真实的优惠、大量欺诈性优惠,以及关于如何专门针对一年中的这个时候改善网络安全的许多善意警告……
......但请记住,网络安全是全年都需要认真对待的事情: 昨天开始,今天做,明天继续!
![S3 Ep118:猜猜你的密码? 如果它已经被盗,则不需要! [音频+文字]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep118-guess-your-password-no-need-if-its-stolen-already-audio-text-360x188.png "S3 Ep118:猜猜你的密码? 如果它已经被盗,则不需要! [音频+文字]")
![S3 Ep114:预防网络威胁——在它们阻止你之前阻止它们! [音频+文字]柏拉图区块链数据智能。 垂直搜索。 人工智能。](https://platoblockchain.com/wp-content/uploads/2022/12/ns-1200-generic-featured-image-blue-digits-360x188.png "S3 Ep114:预防网络威胁——在他们阻止你之前阻止他们! [音频+文字]")
