Ang nakakabagabag na kwento ng isang babae ng blackmail ay nagpapakita ng mga panganib ng spear phishing
Babala: Ang artikulong ito ay naglalaman ng kabastusan at inilalarawan ang isang krimen na sekswal sa kalikasan.
“Nagsisimula siya sa pamamagitan ng pagsasabi sa akin na ayaw niya ng anumang drama o luha. Siyempre ako ay nabalisa sa una ngunit pagkatapos ay pinakalma ko ang aking sarili at tinanong siya kung ano ang gusto niya. Sinabi niya sa akin na alam niya ang uri ng taong ako. Nakita niya ang lahat ng aking mga litrato, binasa ang lahat ng aking mga pag-chat sa iMessage at WhatsApp. Nakakita ng mga x-rated na litrato. Siya ay may access sa isang pulutong ng aking impormasyon na hindi ko nais na ibahagi. Pinag-uusapan niya ako tungkol sa kung paano ako isang masamang babae, na ako ay naninigarilyo ng damo at nakikipagtalik. Na kung alam ng aking mga magulang kung ano ang ginawa niya, matutuwa sila […] malaman na ang kanilang anak na babae ay pinarusahan dahil sa kanyang mga “pagkakamali”.
Ito ang kwento ng reddit na gumagamit na si Zedevile, na nagsalita sa Comparitech sa kondisyon na hindi nagpapakilala. Siya ay isang biktima ng sibat phishing. Sa kabila ng nakakagambala at pribadong katangian ng kanyang nakatagpo, si Zedevile-Zed, para sa maikling-nagsulat tungkol sa kanyang episode sa kriminal na nag-blackmail sa kanya, at nai-post ang kuwento sa reddit. Sinabi niya na ang kanyang hangarin ay maabot ang maraming tao hangga’t maaari upang ang nangyari sa kanya ay hindi ulitin ang sarili nito.
“Sinabi niya na ako ay isang kalapating mababa ang lipad dahil sa dami ng mga relasyon na napuntahan ko / mga taong napetsahan ko mula noong mayroon akong teleponong iyon. Tinanong ko siya kung gusto niya ng pera, anupaman. Sinabi niya na mabibili niya ako ng pera, kaya dapat ibagsak ko iyon. Kaya tinanong ko siya kung ano ang gusto niya sa akin. “
“Hiniling niya sa akin na tanggalin ang aking mga damit at hawakan ang aking sarili sa harap niya sa FaceTime. Masiyahan sa kanya. Pagkatapos ay ibabalik lang niya ang aking mga account. “
Nagsimula ito kapag ang isang hacker na posing bilang isang pamilyar na kakilala ay nakipag-ugnay kay Zed sa Facebook, na humihiling sa kanya na bumoto sa isang kumpetisyon sa online. Ibinigay niya ang kanyang mga Apple at Google ID na idaragdag sa isang pangkat. Pagkatapos ay naging maasim ang mga bagay. Isang bug sa system ang humadlang sa kaibigan ni Zed na huwag magdagdag ng sinuman sa grupo. Kailangan niyang alisin si Zed sa pangkat upang ayusin ito, at gawin iyon, kinakailangan ang isang password.
“Ang kanyang karera ay nakataya sa kabutihan, humingi siya. Pagkatapos magbalik-balik ng kaunti .. Kinantot ko. Nagtiwala ako sa kanya. Akala ko walang pinsala at babaguhin ko lang ang password pagkatapos. Ito ang password sa isang Gmail ID na hindi ko pa ginagamit, maliban sa pag-sign up sa mga random na website kung saan hindi ko nais na makuha ang kanilang spam mail ngunit kailangang lumikha ng isang account, alam mo kung paano tayong lahat ay mayroon. “
Sa sandaling ibunyag ni Zed ang kanyang password, ang pag-atake ay isang tagumpay.
Spear phishing
Ang Phishing ay gumagamit ng sikolohiya ng pag-uugali upang linlangin ang mga biktima sa pagtitiwala sa nagsasalakay upang makakuha ng sensitibong impormasyon. Ang sinumang regular na gumagamit ng internet ay marahil ay nakatagpo ng mga pagtatangka sa phishing. Lumilitaw ang mga ito bilang mga hindi mapang-ugnay na mga link sa mga pekeng email, hinugot na mga website sa pananalapi na humihingi ng mga detalye sa pag-login, at kahina-hinalang mga tawag sa telepono mula sa mga bangko at ospital sa mga matatandang mamamayan. Ang karamihan sa mga pagtatangka sa phishing ay nagta-target sa isang napakalaking madla – madalas na libu-libong mga tao – at umaasa na ang isang maliit na maliit ay malilinlang.
Ang spear phishing ay hindi gaanong laganap, ngunit mas mapanganib. Ang target na phishing target ay isang indibidwal o maliit na grupo ng mga tao. Ang mang-aatake ay maaaring magtipon ng personal na impormasyon tungkol sa kanilang target upang makabuo ng isang mas maaasahang persona. 95 porsyento ng lahat ng matagumpay na pag-atake sa mga network ng negosyo ay ang resulta ng sibat phishing, ayon sa isang mananaliksik sa SANS Institute. Ang 91 porsiyento ng mga sumasagot sa isang survey ng Cloudmark ay nagsabi na nakaranas sila ng mga atake sa phishing.
Karaniwang target ng mga spear phisher ang mga high executive executive at IT admin na nangangalaga sa pagprotekta sa mga sensitibong database. Ang mga cybercriminals ay gumagamit ng mga account sa email ng kumpanya upang maipahiwatig ang mga ehekutibo at mapanlinlang na mga empleyado sa accounting o HR sa mga kable ng pera o pagpapadala ng kumpidensyal na impormasyon. Ngunit ang kwento ni Zed ay nagpapakita kung paano ito maaaring mangyari sa sinuman.
Sinuri ng Comparitech ang maraming mga screenshot ng pag-uusap ni Zed sa hacker pati na rin ang ilang mga naipasa na mga email sa email ng kanyang mga pag-uusap sa suporta ng customer sa Microsoft, Instagram, at Facebook upang mapatunayan ang kanyang kwento. Tumawag din kami ng isang tagapagtaguyod ng customer ng Microsoft sa Global Escalation Services ng kumpanya sa kanyang personal na numero, na ibinigay ni Zed, upang mapatunayan ang kanyang pagkakakilanlan.
Ang email password na ibinigay ni Zed sa imposter ay hindi lamang isang junk mail account. Ito rin ang pagbawi ng email para sa kanyang pangunahing email account sa Hotmail. Ilang sandali matapos ang palitan, nakatanggap siya ng mga email tungkol sa isang pag-sign in mula sa Pakistan. Sa loob ng ilang minuto, nilagdaan siya ng pag-atake sa ilang mga account.
“Ang bawat account na mayroon ako sa internet kung mahalaga ito ay maiugnay sa Hotmail. Mga account sa bangko, Facebook, LinkedIn, Squarespace, Amazon, pinangalanan mo ito. Binago niya ang password sa Hotmail, pagbawi ng email at telepono. Ang Aking Hotmail ay din ang aking Apple ID. “
Sa sandaling nakontrol ng attacker ang Hotmail account ni Zed, nakuha niya ang lahat.
Binago niya ang kanyang numero ng telepono sa pagbawi, email, kaarawan, at mga katanungan sa seguridad para sa kanyang Apple ID. Si Zed ay hindi pinagana ang two-step na pag-verify, na nangangailangan ng pangalawang anyo ng pag-verify na karaniwang sa pamamagitan ng text message kapag nag-log in mula sa isang bagong aparato, naka-set up sa kanyang mga account.
“Hindi ko ma-verify ang aking pagkakakilanlan dahil hindi tama ang aking mga sagot, hindi ako papasukin ng ginang sa telepono.”
Kinontrol ng attacker ang account sa Facebook ni Zed. Gamit ang kanyang kasintahan bilang isang proxy, tumayo si Zed ng isang tawag sa Facebook Messenger sa kanya. Iyon ay nagsimula ang pag-blackmail. Ang interesado ay hindi interesado sa pera.
Sinabi niya sa kanya na kung hindi siya sumuko sa kanyang kahilingan, mag-post siya ng mga kompromiso na litrato mula sa kanyang iCloud sa Facebook bilang larawan ng profile niya. Sinabi niya na wala siyang pakialam kung iniulat niya sa kanya ang pagpapatupad ng batas.
Tumanggi si Zed.
“Nagsimula akong magalit sa panawagang ito, at sinabi sa kanya na wala siyang karapatang mag-pulis sa akin ng moral at maaari akong maging maraming relasyon na gusto ko at makatulog sa kung kaninong gusto ko at wala ito sa kanyang negosyo. Nagalit ito sa kanya. Sinabi niya, ‘suriin ang iyong [larawan ng display] sa loob ng dalawang minuto’. “
Ang sumalakay ay sumunod sa kanyang pagbabanta. Ipinost niya ang larawan. Ang kasintahan ni Zed ay nagtipon ng isang koponan ng mga kaibigan upang subaybayan ang kanyang account at i-flag ang larawan sa Facebook sa sandaling ito ay lumitaw.
“Napaluha ako. Sa loob ng ilang minuto, isang random na kaibigan na halos hindi ako nagsasalita na tumawag sa aking telepono at tinanong ako kung alam ko kung ano ang nasa aking Facebook. Narinig niya akong umiiyak at sinabi kong hindi ako makikipag-usap. Ang aking mga kaibigan ay nag-uulat, nag-uulat, nag-uulat. Nakita kong nagbago ang profile ko. Ito ay fucked up. “
Ang kanyang profile ay na-deactivate ng mas mababa sa 10 minuto, ngunit ito ay sapat na upang gumawa ng ilang mga pinsala.
“Sa palagay ko hindi bababa sa 15 mga tao ang nakakita nito. Hindi bababa sa 5-7 naabot agad sa akin, sa pamamagitan ng ilang pamamaraan o iba pa. “
Pagbawi
Ginugol ni Zed ang susunod na buwan na pinagsama ang kanyang online na buhay na magkasama.
Ginamit ng attacker ang kanyang Facebook account upang mag-mensahe ng 20 hanggang 25 ng mga babaeng kaibigan ni Zed sa Facebook. Matagumpay niyang na-trick ang isa sa kanila, na nawala din ang lahat. “Tinawagan niya talaga siya sa pamamagitan ng telepono, ngunit ang kanyang kasintahan ay nagsalita sa kanya at mayroon silang ilang uri ng sumigaw na tugma, sa pagtatapos na tila siya ay sumuko,” sabi ni Zed.
Sinabi ng pulisya kay Zed na kaunti lang ang magagawa nila. Ang kriminal ay dapat na nasa Pakistan at ang kanyang kaso “ay hindi sapat na mahalaga para sa isang pagsisiyasat sa krimen sa cyber.”
Nabanggit ni Zed na ang Apple, Facebook, Instagram, at Google lahat ay may makatwirang at tumutugon sa serbisyo sa customer upang matulungan siyang mabawi ang kanyang mga account. Ang Microsoft-na nagmamay-ari ng Hotmail-at ang Snapchat ay may “kakila-kilabot” na suporta, at hindi niya na mabawi ang mga account na iyon.
Hindi lamang itinatampok ng kwento ni Zed na ang target ng sibat ay maaaring i-target ang sinuman, ngunit marahil ito ay mas karaniwan kaysa sa napagtanto ng karamihan. Matapang si Zed hindi lamang dahil hindi siya nagbigay, ngunit dahil pinili niyang ibahagi ang kanyang kwento sa reddit at sa Comparitech bilang isang cautionary tale sa iba. Gayunpaman, siya ay eksepsiyon sa pamantayan. Malamang na ang mga ganitong uri ng personal na pag-atake ay madalas na hindi maipalabas, kapwa sa pagpapatupad ng batas at sa media.
Paano protektahan ang iyong sarili
Binalot ni Zed ang kanyang reddit post na may isang simpleng piraso ng solidong payo: “Ang mga bagay ay mas mahusay na ngayon, ngunit tandaan ang mga bata: HUWAG WALA ibigay ang iyong personal na impormasyon, maging sa isang malapit na kaibigan o mahal sa buhay.”
Mga password
Ang mga password, lalo na, ay kailangang maingat na bantayan. Kung igiit mong ibahagi ang isang account sa isang tao, tulad ng isang pamilya na Netflix account, ipasok ang iyong password sa kanilang ngalan. Huwag isulat ang mga ito sa iyong computer, smartphone, o kahit isang notebook. Huwag sabihin sa isang tao ang iyong password sa telepono o sa isang text message. Ang mga daluyan na ito ay madalas na hindi naka-encrypt at hindi mo talaga alam kung sino ang tatanggap ng pagtatapos.
Ang mga password ay kailangan ding maging malakas at iba-iba. Ang paglikha ng isang malakas na password ay nangangahulugan ng paggamit ng isang random na kumbinasyon ng mga titik, numero, at simbolo na halos 12 character ang haba. Maaari mong basahin ang higit pa tungkol sa kung paano bumuo ng malakas na mga password dito.
Huwag gumamit ng parehong password para sa maraming mga account. Kung mayroon kang problema sa pag-alala sa iyong mga password, gumamit ng isang tagapamahala ng password. Ang mga tagapamahala ng password ay naka-encrypt at nag-iimbak ng lahat ng iyong mga password sa isang app o extension ng browser kaya kailangan mo lang kabisaduhin ang isang master password upang ma-access ang lahat ng iyong mga account.
“Naghahanap ako sa isang tagapamahala ng password tulad ng Keepass o LastPass dahil inirerekomenda sila ng iba pang mga Redditor sa thread, ngunit hindi pa ako naka-install,” sabi ni Zed. “Gusto pa rin gumawa ng ilang pananaliksik bago pumasok sa na.”
Sa wakas, baguhin ang iyong mga password kung naaangkop. Inirerekomenda ng mga mas lumang mga panuntunan sa seguridad na baguhin ang mga password tuwing 30 hanggang 180 araw batay sa kung gaano katagal na maipagsikap ang isang password-upang mahulaan ang bawat posibleng kombinasyon ng mga character-ngunit ang pinakamagandang payo ngayon ay upang baguhin ang mga ito anumang oras na ang isang paglabag sa data ay nakakaapekto sa isang kumpanya sa na mayroon kang isang account. Muli, ang mga tagapamahala ng password ay maaaring makarating dito. Ang ilan ay hindi lamang makakatulong sa iyo na mag-imbak ng mga password, ngunit maaari ring makabuo ng mga random na natatanging password sa iyong ngalan.
2FA at 2SV
Palaging paganahin ang two-factor na pagpapatunay (2FA) at / o pag-verify ng dalawang hakbang sa iyong mga account kapag posible. Ang mga hakbang na ito sa seguridad ay nangangailangan ng sinumang nag-log in sa isa sa iyong mga account mula sa bago o hindi pamilyar na aparato upang mapatunayan ang kanilang pagkakakilanlan sa pamamagitan ng ilang mga alternatibong paraan.
Kasama sa 2FA ang mga teknolohiya tulad ng mga smart card, Yubikeys, at biometric scan upang mapatunayan ang iyong pagkakakilanlan.
Ang isang karaniwang halimbawa ng 2SV ay nangyayari kapag, pagkatapos na ipasok ang iyong username at password, dapat ka ring magpasok ng isang numero ng PIN o code na ipinadala sa iyong aparato sa pamamagitan ng SMS. Ang Google Authenticator at Writingy ay mapagkakatiwalaang mga app na ginamit para sa 2SV at isang mahusay na pagpipilian kung wala kang numero ng telepono o madalas na baguhin ang mga numero.
Ang pag-verify ng email ay isa pang anyo ng 2SV, ngunit ito ang pinakamahina na pagpipilian. Ang pag-verify ng email ay hindi nakatulong kay Zed sa oras na kontrolado ng kanyang atake ang kanyang mga email account.
“Gumagamit ako ng [2FA / 2SV] sa bawat account na mayroon ako na nag-aalok nito,” sabi ni Zed.
Mga link at malware
Ang attacker ni Zed ay hindi nakakaapekto sa kanyang mga aparato sa malware hangga’t alam natin, ngunit ang pag-trick sa mga gumagamit sa mga site ng imitasyon kung saan nila mai-input ang pribadong impormasyon o nai-trick sa pag-download at pag-install ng malware ay karaniwang mga taktika. Para sa mga executive at mga tauhan ng IT partikular, madalas itong layunin ng kriminal.
Ang pinsala sa computer ay maaaring makapinsala sa mga computer system, magnakaw ng data, at kahit na i-encrypt ang buong drive at hawakan ang mga ito para sa pantubos. Ang pinakahuli, na kilala bilang “ransomware”, ay partikular na tanyag at epektibo sa huli. Maaaring mawalan ng pag-access ang mga samahan sa mahahalagang data at pinipilit na magbayad ng malaking kabuuan ng bitcoin sa mga hacker bilang kapalit ng isang password na maaaring mag-decrypt ng kanilang mga aparato.
Mahalaga na palaging maging maingat sa mga link. Huwag mag-click sa mga link sa mga email, mensahe, o mga web page na hindi mo kinikilala. Spoofing ang mga address kung saan ipinadala o sumagot ang email ay karaniwan. Magbasa nang higit pa tungkol sa kung paano makita ang mga phishing emails dito.
Sa mga browser ng desktop, maaari kang mag-hover sa isang hyperlink upang ipakita kung saan talaga itong namumuno sa ibabang kaliwang sulok ng window ng browser. Mag-ingat sa mga subdomain na ginamit upang gawing lehitimo ang mga URL. Halimbawa, ang website ng Paypal ay “www.paypal.com”. Ang isang imposter website ay maaaring maglagay ng “paypal” bilang subdomain nito at isang opisyal na pang-itaas na domain level kaya ginagamit nito ang URL na “paypal.official-paypal.com”.
Palaging gumamit ng anti-malware na may real-time na pag-scan, at panatilihing napapanahon.