Тривожна історія шантажу жінки показує небезпеку фішингу

Попередження: Ця стаття містить нецензурну лексику і зображує злочин, що має сексуальний характер.
reddit фішинг 1

«Він починає з того, що каже мені, що не хоче жодної драми чи сліз. Звичайно, я спочатку збентежився, але потім я заспокоївся і запитав у нього, що він хоче. Він сказав мені, що знає, яка я людина. Він побачив усі мої фотографії, прочитав усі мої iMessages та чати WhatsApp. Бачили фотографії з рейтингом x. Він має доступ до багато моєї інформації, яку я не хотів би ділитися. Він читає мені лекції про те, як я погана дівчина, що я курив бур’ян і займався сексом. Якщо мої батьки знали, що він робив, вони були б раді […] знати, що їхня дочка карається за її «проступки».

Це історія користувача Reddit Zedevile, який говорив з Comparitech за умови анонімності. Вона є жертвою списа фішингу. Незважаючи на тривожний і приватний характер її зустрічі, Зедевіла – Зед, коротко, написала про свій епізод із злочинцем, який її шантажував, і опублікував цю історію на червоному редакції. Вона каже, що її намір – охопити якомога більше людей, щоб те, що сталося з нею, не повторилося.

“Він сказав, що я повія через кількість стосунків, в яких я був / люди, з якими я знайомився з тих пір, як у мене був цей телефон. Я запитав у нього, чи хоче він грошей, чогось подібного. Він сказав, що може купити мене грошима, тож я мушу це відкинути. Тож я запитав у нього, що він хоче від мене ».

«Він попросив мене зняти одяг і торкнутися себе перед ним на FaceTime. Задовольте його. Тільки тоді він поверне мені рахунки ».

Почалося це, коли хакер, який представляв себе як знайомий знайомий, зв’язався із Зедом у Facebook, попросивши її проголосувати в конкурсі з моделювання в Інтернеті. Вона передала свої ідентифікатори Apple і Google, щоб їх було додано до групи. Потім справи погіршилися. Помилка в системі якось завадила другові Зеда додати когось іншого до групи. Їй потрібно було видалити Зеда з групи, щоб виправити це, і для цього був необхідний пароль.

“Її кар’єра була поставлена ​​на карту заради добра, просила вона. Після повернення вперед і назад трохи .. Я трахкав. Я їй довірився. Я думав, що шкоди немає, і я просто змінив пароль відразу після. Це був пароль до ідентифікатора Gmail, який я ніколи не використовую, за винятком реєстрації на випадкових веб-сайтах, де я не хочу отримувати їх спам-пошту, але мені потрібно створити обліковий запис, ви знаєте, як у нас є один із них “.

У момент, коли Зед розкрив свій пароль, напад мав успіх.

Спір фішинг

Фішинг використовує поведінкову психологію, щоб обманути жертв довіряти зловмиснику з метою отримання конфіденційної інформації. Кожен, хто регулярно користується Інтернетом, напевно, стикався з спробами фішингу. Вони з’являються у вигляді підступних посилань у підроблених електронних листах, підроблених фінансових веб-сайтах, де запитуються дані про вхід, та підозрілі телефонні дзвінки з банків та лікарень для людей похилого віку. Основна маса спроб фішингу націлена на величезну аудиторію – часто тисячі людей – і сподіваємось, що невелика жменька буде обманута.

Фіш-фішинг є менш поширеним, але набагато небезпечнішим. Фіш-фішинг націлений на окрему людину чи невелику групу людей. Зловмисник може зібрати особисту інформацію про свою ціль, щоб створити більш правдоподібну персону. 95 відсотків усіх успішних атак на корпоративні мережі є результатом фішингу підводного польоту, зазначає дослідник інституту ДАНС. 91 відсоток респондентів у опитуванні Cloudmark сказали, що вони зазнали нападу підводного фішингу.

Фіш-фішери, як правило, націлені на керівників високого рівня та ІТ-адміністратора, відповідальних за захист чутливих баз даних. Кіберзлочинці підробляють облікові записи електронної пошти компанії, щоб видати себе за керівництво та обманювати працівників у бухгалтерському обліку чи кадровій службі в проводці грошей чи розсилці конфіденційної інформації. Але історія Зеда показує, як це може статися з ким завгодно.

Comparitech переглянула декілька скріншотів розмови Зеда з хакером, а також кілька пересланих потоків електронної пошти її розмов із підтримкою клієнтів у Microsoft, Instagram та Facebook, щоб перевірити її історію. Ми також зателефонували одному адвокату клієнта Майкрософт у службі глобальної ескалації компанії за його особистим номером, який надав Zed, щоб перевірити його особу.

Пароль електронної пошти, який Зед передав самозванець, був не лише обліковим записом небажаної пошти. Це був також електронний лист для відновлення її основного облікового запису на Hotmail. Незабаром після обміну вона отримала електронні листи про вхід з Пакистану. Протягом декількох хвилин зловмисник виписав її з кількох акаунтів.

“Кожен обліковий запис, який я маю в Інтернеті, якщо це важливо, пов’язаний з Hotmail. Банківські рахунки, Facebook, LinkedIn, Squarespace, Amazon, ви його називаєте. Він змінив пароль Hotmail, електронну пошту для відновлення та телефон. Мій Hotmail був також моїм Apple ID ».

Як тільки зловмисник отримав контроль над обліковим записом Hotmail у Зеда, у нього все було.

Він змінив її номер телефону для відновлення, електронну пошту, день народження та питання безпеки для її Apple ID. Зед не ввімкнув двоетапну перевірку, яка вимагає вторинної форми перевірки, як правило, за допомогою текстового повідомлення під час входу з нового пристрою, налаштованого на її акаунтах.

“Я не зміг підтвердити свою особу, оскільки мої відповіді були невірними. Дама по телефону не могла мене впустити”.

Зловмисник взяв під контроль обліковий запис Facebook Зеда. Використовуючи свого хлопця як проксі, Зед встановив дзвінок у Facebook Messenger разом із ним. Тоді почався шантаж. Зловмисник не цікавився грошима.

Він сказав їй, що якщо вона не погодиться на його прохання, він опублікує компрометуючі фотографії з її iCloud у Facebook як її зображення профілю. Він сказав, що йому байдуже, якщо вона повідомить його в правоохоронні органи.

Зед відмовився.

“[…] Я почав засмучуватися під час цього дзвінка, і сказав йому, що він не має права морально мене поліціювати, і що я можу бути в таких відносинах, як я хочу, і спати з ким я хочу, і це не стосується його справи. Це розлютило його. Він сказав: “Перевірте [покажіть зображення] за дві хвилини”. “

Зловмисник переслідував свою загрозу. Він опублікував фотографію. Хлопець Зеда зібрав команду друзів, щоб стежити за її обліковим записом і позначати фотографію у Facebook, як тільки воно з’явилося.

reddit фішинг 2

«Я був у сльозах. За пару хвилин випадковий друг, з яким я ледве розмовляв, зателефонував на свій телефон і запитав мене, чи знаю я, що у моєму Facebook. Вона почула, як я плачу, і я сказала, що не можу говорити. Мої друзі повідомляли, повідомляли, репортажували. Я побачив, як мій профіль змінився. Це було трахкано ».

Її профіль був деактивований менш ніж за 10 хвилин, але цього було достатньо, щоб зробити шкоду.

«Я думаю, що принаймні 15 людей, мабуть, це бачили. Принаймні 5-7 звернулися до мене негайно, тим чи іншим методом ».

Відновлення

Наступний місяць Зед провів друге життя в Інтернеті.

Зловмисник використовував її акаунт у Facebook, щоб повідомляти 20 – 25 подруг жінки Зеда у Facebook. Він успішно обдурив одного з них, який теж все втратив. “Він насправді зателефонував їй по телефону, але її хлопець розмовляв з ним, і у них був якийсь кричущий матч, в кінці якого він, здавалося, здався”, – каже Зед.

reddit фішинг 3

Поліція сказала Зеду, що вони можуть зробити мало. Злочинник нібито був у Пакистані, і її справа “була недостатньо важливою для розслідування кібер-злочинів”.

Зед зазначає, що Apple, Facebook, Instagram і Google мали розумне та чуйне обслуговування клієнтів, щоб допомогти їй відновити свої акаунти. Майкрософт, який володіє Hotmail – і Snapchat мали «жахливу» підтримку, і вона не змогла відновити ці акаунти.

Історія Зеда не лише підкреслює, що фішинг за допомогою коп’яцтва може націлити когось, але й, мабуть, частіше, ніж усвідомлює більшість людей. Зед був сміливим не лише тому, що вона не поступалася, а тому, що вирішила поділитися своєю історією на reddit та з Comparitech як застережливу казку для інших. Однак вона є винятком із норми. Дуже ймовірно, що подібні особисті напади часто не повідомляються як у правоохоронні органи, так і в ЗМІ.

Як захистити себе

Зед загортає свою публікацію про редакцію простим поглядом: “Зараз краще, але пам’ятайте, діти: НІКОЛИ не передайте свою особисту інформацію, навіть близькій людині чи коханій людині”.

Паролі

Особливо потрібно захищати паролі. Якщо ви наполягаєте на тому, щоб поділитися обліковим записом з кимось, таким як сімейний обліковий запис Netflix, введіть пароль самостійно від їх імені. Не записуйте їх на свій комп’ютер, смартфон або навіть ноутбук. Не повідомляйте комусь свій пароль по телефону або в текстовому повідомленні. Ці носії часто не шифруються, і ви ніколи не знаєте, хто на кінці прийому.

Паролі також повинні бути сильними та різноманітними. Створити надійний пароль означає використання випадкової комбінації букв, цифр та символів довжиною не менше 12 символів. Детальніше про те, як створити надійні паролі, ви можете прочитати тут.

Ніколи не використовуйте один і той же пароль для кількох облікових записів. Якщо у вас виникли проблеми з запам’ятовуванням ваших паролів, використовуйте диспетчер паролів. Менеджери паролів шифрують і зберігають усі ваші паролі в додатку чи розширенні веб-переглядача, тому вам потрібно запам’ятати лише один головний пароль для доступу до всіх своїх облікових записів.

“Я шукаю менеджера паролів, як Keepass або LastPass, оскільки їх рекомендували інші Redditors в потоці, але я ще не встановив жодного”, – каже Зед. “Ще хочу зробити кілька досліджень, перш ніж зайнятися цим”.

Нарешті, змініть свої паролі, коли це доречно. Старі вказівки щодо безпеки пропонували змінювати паролі кожні 30–180 днів, виходячи з того, скільки часу потрібно, щоб груба сила змусити пароль – вгадати кожну можливу комбінацію символів – але найкраща порада – змінити їх у будь-який момент, коли порушення даних вплине на компанію який у вас є рахунок. І знову менеджери паролів тут можуть стати в нагоді. Деякі не лише допомагають зберігати паролі, але також можуть генерувати випадкові унікальні паролі від вашого імені.

2FA і 2SV

Завжди вмикайте двофакторну автентифікацію (2FA) та / або двоетапну перевірку у своїх облікових записах, коли це можливо. Ці заходи безпеки вимагають, щоб хтось увійшов до одного з ваших облікових записів з нового або незнайомого пристрою, щоб перевірити свою особу за допомогою інших альтернативних способів.

2FA включає такі технології, як смарт-карти, юбікеї та біометричні сканування для підтвердження вашої особи.

Поширений приклад 2SV виникає, коли після введення свого імені користувача та пароля ви також повинні ввести PIN-код або код, надісланий на ваш пристрій через SMS. Google Authenticator та Authy є надійними програмами, які використовуються для 2SV, і це хороший варіант, якщо у вас немає номера телефону або часто змінюєте номери.

Підтвердження електронною поштою – це ще одна форма 2SV, але це найслабший варіант. Перевірка електронної пошти не допомогла б Зеду до того моменту, як її зловмисник взяв під контроль свої облікові записи електронної пошти.

“Я використовую [2FA / 2SV] для кожного облікового запису, який він пропонує”, – каже Зед.

Посилання та зловмисне програмне забезпечення

Зловмисник Зеда не заражав її пристрої шкідливим програмним забезпеченням, наскільки ми знаємо, але обман користувачів на сайти для імітації, де вони або вводять приватну інформацію, або підманюють завантаження та встановлення зловмисних програм – звичайна тактика. Зокрема, для керівників та ІТ-персоналу це часто завдання злочинця.

Зловмисне програмне забезпечення може пошкодити комп’ютерні системи, викрасти дані та навіть зашифрувати цілі накопичувачі та затримати їх за викуп. Останнє, відоме як «викупне програмне забезпечення», є особливо популярним та ефективним з пізнього часу. Організації можуть втратити доступ до життєво важливих даних і змушені платити величезні суми біткойна хакерам взамін пароля, який може розшифрувати їхні пристрої.

Важливо завжди бути обережними посиланнями. Не натискайте посилання на електронні листи, повідомлення чи веб-сторінки, які ви не впізнаєте. Підшукування адрес, з яких надсилається електронний лист або відповідь на них, є загальним явищем. Детальніше про те, як знайти фішинг-листи, читайте тут.

У веб-переглядачах можна навести курсор миші на гіперпосилання, щоб відобразити, де воно насправді веде в нижньому лівому куті вікна браузера. Будьте обережні до субдоменів, які використовуються для того, щоб URL-адреси виглядали законними. Наприклад, веб-сайт Paypal – це «www.paypal.com». Веб-сайт самозванця може містити “paypal” як свій піддомен та офіційний домен верхнього рівня, щоб він використовував URL-адресу “paypal.official-paypal.com”.

Завжди використовуйте анти-шкідливі програми при скануванні в режимі реального часу та оновлюйте їх.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me