24 Августа, 2019

Instagram фишинг использует 2FA в качестве приманки

Владимир Безмалый

Когда киберпреступники впервые начали активно заниматься фишингом, они пошли прямо туда, где, по их мнению, были деньги: на ваш банковский счет.

Несколько лет назад мы ежедневно видели множество поддельных электронных писем, предупреждающих нас о банковских проблемах в финансовых учреждениях, о которых мы даже не слышали

Тогда фишинг был настоящей неприятностью, но с тех пор прошло время, и пользователи стали значительно внимательнее.

Это эпоха, которая породила совет искать плохое правописание, плохую грамматику, неправильную формулировку и странные веб-сайты.

Не заблуждайтесь, этот совет остается в силе. Мошенники все еще часто совершают ошибки, которые выдают их, поэтому убедитесь, что вы используете их ошибки, чтобы поймать их. Это достаточно плохо, но потом вы осознаете, что вы не заметили, что вы «вошли» в Первый Банк Техасаили в Royall Candanian Biulding Sociteye по ошибке.

В наши дни вы почти наверняка увидите фишинговые атаки, которые нацелены на ваши банковские пароли, но готов поспорить, что вы получите столько же и, возможно, больше поддельных электронных писем, которые нацелены на пароли для других типов учетных записей.

В наши дни учетные записи электронной почты очень полезны для мошенников по довольно очевидной причине, по которой ваш адрес электронной почты является тем местом, которое многие другие ваши онлайн-службы используют для своих функций «восстановления учетной записи».

Мошенник, который может получить ваши электронные письма раньше, чем вы, может использовать кнопку «Восстановить пароль» в ваших сетевых учетных записях и нажать ссылку «Выбрать новый пароль», чтобы восстановить его с помощью вашей электронной почты … без вашего ведома о необходимости сброса пароля.

Пароли социальных сетей также ценны для мошенников, потому что внутренности ваших учетных записей социальных сетей, как правило, выдают о вас гораздо больше, чем мошенники могут узнать при регулярных поисках.

Хуже того, мошенник, который находится в вашей учетной записи в социальной сети, может также использовать его для обмана ваших друзей и семьи, так что вы не просто подвергаете себя риску, теряя контроль над учетной записью.

Действительно, теперь мы видим больше фишинговых атак, которые идут после паролей электронной почты и социальных сетей, чем атак на банковские аккаунты в Интернете.

В этом сообщении действительно упоминается учетная запись, которая больше не используется, поэтому мошенникам повезло с выбором времени сообщения.

Там нет HTTPS (обратите внимание на отсутствующий замок); доменное имя выглядит (и является) поддельным; страница входа не похожа ни на какую службу веб-почты, которую я когда-либо использовал; и все это явно подделка.

Но вот еще одно нападение, которое было получено на этой неделе. Оно было гораздо более правдоподобным, на этот раз для аккаунтов в Instagram:

Как бы ни хотелось это признавать, но мошенники продумали в данном случае атаку гораздо серьезнее.

Помимо нескольких ошибок пунктуации и пропущенного пробела перед словом «Please», это сообщение является чистым, ясным и достаточно сдержанным, чтобы не вызывать мгновенных звуковых сигналов.

Использование того, что выглядит как код 2FA, является аккуратным штрихом: подразумевается, что вам не нужно будет использовать пароль, а просто подтвердить, что электронное письмо дошло до вас.

И двухфакторная аутентификация кодов как бы из кибербезопасности — потому что, ну, потому что 2FA.

Если вы нажмете, вы должны заметить фишинг только по имени домена — мы отредактировали точный текст здесь, но это домен .CF (Centrafrique), который почти произносит «login», но не совсем:

Если бы нам пришлось угадывать, мы бы предположили, что мошенники не получили столь правдоподобное имя, как они хотели, потому что они выбрали бесплатное доменное имя. (CF — одна из многих развивающихся стран, которая раздает некоторые домены в надежде привлечь пользователей и продать известные слова и то, что, по его мнению, является хладнокровными доменными именами за 500 долларов или больше.)

Тем не менее, сама фишинговая страница является вполне правдоподобным сообщением реального сайта и поставляется в комплекте с действующим сертификатом HTTPS.

Помните, что веб-сертификаты защищают ваше соединение с сайтом и предотвращают отслеживание или подделку ответов, а также подтверждают тот факт, что человек, получивший сертификат, действительно смог войти на сайт и изменить его.

Но они не ручаются за фактическое содержание веб-страниц или за файлы, которые хранятся на сайте и обслуживаются им.

Другими словами, сайту без замка определенно нельзя доверять, точно так же, как опечатки и грамматические ошибки должны оттолкнуть вас; но сайту нельзя автоматически доверять только потому, что он имеет замок и письмо написано правильно.

Реальная страница входа в Instagram довольно близка, поэтому вы не можете полагаться на визуальные ошибки на самом экране паролей:

Что делать?

Фишинговая страница выглядит нормально, и на ней есть HTTPS-замок, как и следовало ожидать, но как вы должны обнаружить фишинг такого рода?

Хорошая новость заключается в том, что, несмотря на неохотное признание того, что мошенники придумали фишинг, который значительно выше среднего по вероятности, тем не менее, есть некоторые явные признаки, которые выдают его.

Следите за любыми из этих приемов, когда получаете электронное письмо с предупреждением о безопасности.

  • Вход в ссылку по электронной почте. Простое решение: никогда не используйте ссылки в письмах! Если вам нужно войти в Instagram, вам не нужна ссылка, чтобы найти его. Используйте приложение на своем телефоне или закладку, которую вы установили самостоятельно в браузере. Да, это немного больше работы. Нет, это не сложно.
  • Неожиданное доменное имя. Убедитесь, что вы знаете, откуда оно получено. Если адресная строка слишком короткая, чтобы увидеть полный URL, скопируйте и вставьте текст из нее, чтобы убедиться. Если это выглядит неправильно, предположите, что это неправильно и игнорируйте, или примите второе мнение от кого-то, кому вы доверяете. Да, это немного больше работы. Нет, это не сложно.
  • Необоснованный запрос. Если вы беспокоитесь о том, что кто-то еще входил в вашу учетную запись, используйте официальный способ проверки вашей учетной записи. Не полагайтесь на веб-ссылки, которые могли прийти откуда угодно. Досадно, что каждое приложение для социальных сетей делает это немного по-своему, но как только вы узнаете, где искать, вы никогда не будете обмануты подобным письмом. Да, это немного больше работы. Нет, это не сложно.
  • Просматривайте данные о вашей деятельности на Instagram. Перейдите на страницу своего профиля, выберите меню (значок из трех строк) в правом верхнем углу, затем выберите пункт «Настройки» в нижней части экрана. Оттуда перейдите в «Безопасность» и затем «Активность входа»

Оригинал