Facebook 2FA Phish arriveert slechts 28 minuten nadat het zwendeldomein is gemaakt

We vertellen dit verhaal vooral door middel van beelden, want een beeld zegt meer dan 1024 woorden.

Deze cybercriminaliteit is een visuele herinnering aan drie dingen:

Het is gemakkelijk om voor een phishing-zwendel te vallen als je haast hebt.
Cybercriminelen verspillen geen tijd nieuwe oplichting aan de gang krijgen.
2FA is geen wondermiddel voor cyberbeveiliging, dus je hebt nog steeds je verstand nodig.

Het was 19 minuten over...

Om 19 minuten na 3 uur Britse tijd [2022-07-01T14:19:00.00Z] hebben de criminelen achter deze zwendel een generieke en onopvallende domeinnaam van het formulier geregistreerd control-XXXXX.com, Waar XXXXX was een willekeurig uitziende reeks cijfers, die eruitzag als een volgnummer of een server-ID:

28 minuten later, om 15:47 Engelse tijd, ontvingen we een e-mail met een link naar een server genaamd facebook.control-XXXX.com, ons te vertellen dat er mogelijk een probleem is met een van de Facebook-pagina's die we beheren:

Zoals u kunt zien, lijkt de link in de e-mail, blauw gemarkeerd door onze Oulook-e-mailclient, rechtstreeks en correct naar de facebook.com domein.

Maar die e-mail is geen e-mail in platte tekst en die link is geen tekenreeks in platte tekst die direct een URL vertegenwoordigt.

In plaats daarvan is het een HTML-e-mail met een HTML-link waar de tekst van de link lijkt op een URL, maar waar de werkelijke link (bekend als an href, kort voor hypertekstverwijzing) gaat naar de bedriegerpagina van de boef:

Als gevolg hiervan werden we door te klikken op een link die eruitzag als een Facebook-URL, naar de nepsite van de oplichter gebracht:

Afgezien van de onjuiste URL, die wordt verhuld door het feit dat deze begint met de tekst facebook.contact, dus het zou kunnen slagen als je haast hebt, er zijn hier geen duidelijke spel- of grammaticale fouten.

Facebook's ervaring en aandacht voor detail betekent dat het bedrijf waarschijnlijk de ruimte voor de woorden niet zou hebben weggelaten "Als je denkt", en zou de ongebruikelijke tekst niet hebben gebruikt ex om het woord af te korten "voorbeeld".

Maar we durven te wedden dat sommigen van jullie die glitches misschien niet hebben opgemerkt, als we ze hier niet hadden vermeld.

Als je naar beneden zou scrollen (of meer ruimte had dan wij hadden voor de schermafbeeldingen), heb je misschien een typefout opgemerkt in de inhoud die de boeven hebben toegevoegd om te proberen de pagina er nuttig uit te laten zien.

Of misschien niet - we hebben de spelfout gemarkeerd om u te helpen deze te vinden:

Vervolgens vroegen de oplichters om ons wachtwoord, dat normaal gesproken geen deel uitmaakt van dit soort website-workflow, maar ons om authenticatie vragen is niet helemaal onredelijk:

We hebben de foutmelding gemarkeerd "Fout wachtwoord", die verschijnt wat u ook typt, gevolgd door een herhaling van de wachtwoordpagina, die vervolgens accepteert wat u typt.

Dit is een veelgebruikte truc die tegenwoordig wordt gebruikt, en we nemen aan dat dit komt omdat er nog steeds een moe oud stuk cyberbeveiligingsadvies rondgaat dat zegt: "Voer bewust de eerste keer het verkeerde wachtwoord in, waardoor zwendelsites onmiddellijk worden blootgelegd omdat ze het niet weten uw echte wachtwoord en daarom zullen ze worden gedwongen om het valse wachtwoord te accepteren.”

Voor alle duidelijkheid, dit is NOOIT een goed advies geweest, niet in het minst als je haast hebt, omdat het gemakkelijk is om een "verkeerd" wachtwoord in te typen dat onnodig lijkt op je echte wachtwoord, zoals het vervangen van pa55word! met een string zoals pa55pass! in plaats van wat ongerelateerde dingen te bedenken, zoals: 2dqRRpe9b.

Ook, zoals deze eenvoudige truc duidelijk maakt, hebben de boeven je gewoon triviaal in slaap gesust in een vals gevoel van veiligheid als je "voorzorgsmaatregel" uitkijkt naar schijnbare mislukkingen gevolgd door schijnbaar succes.

We benadrukten ook dat de boeven ook opzettelijk een ietwat irritante toestemmingscheckbox hebben toegevoegd, gewoon om de ervaring een vernisje van officiële formaliteit te geven.

Nu heb je de boeven je accountnaam en wachtwoord gegeven...

...ze vragen onmiddellijk om de 2FA-code die wordt weergegeven door uw authenticator-app, die de criminelen in theorie ergens tussen de 30 seconden en een paar minuten geeft om de eenmalige code te gebruiken in een frauduleuze eigen Facebook-inlogpoging:

Zelfs als je geen authenticator-app gebruikt, maar liever 2FA-codes via sms ontvangt, kunnen de boeven een sms naar je telefoon provoceren door simpelweg in te loggen met je wachtwoord en vervolgens op de knop te klikken om je een code te sturen.

Tot slot, in een andere veelvoorkomende truc van tegenwoordig, verzachten de criminelen de afstap als het ware door je aan het einde terloops om te leiden naar een legitieme Faceook-pagina.

Dit geeft de indruk dat het proces zonder problemen is verlopen:

Wat te doen?

Trap niet in dit soort oplichting.

Gebruik geen links in e-mails om officiële 'bezwaar'-pagina's op sociale-mediasites te bereiken. Leer zelf waar u heen kunt gaan en houd een plaatselijk register bij (op papier of in uw bladwijzers), zodat u nooit e-mailweblinks hoeft te gebruiken, of ze nu echt zijn of niet.
Controleer e-mail-URL's zorgvuldig. Een link met tekst die er zelf uitziet als een URL, is niet per se de URL waarnaar de link je verwijst. Om de echte bestemmingslink te vinden, beweegt u de muisaanwijzer over de link (of houdt u de link op uw mobiele telefoon ingedrukt).
Controleer website domeinnamen zorgvuldig. Elk karakter is belangrijk, en het zakelijke deel van een servernaam staat aan het einde (de rechterkant in Europese talen die van links naar rechts gaan), niet aan het begin. Als ik eigenaar ben van het domein dodgy.example dan kan ik elke merknaam die ik leuk vind aan het begin zetten, zoals: visa.dodgy.example or whitehouse.gov.dodgy.example. Dat zijn gewoon subdomeinen van mijn frauduleuze domein, en net zo onbetrouwbaar als elk ander deel van dodgy.example.
Als de domeinnaam niet duidelijk zichtbaar is op uw mobiele telefoon, overweeg te wachten tot u een gewone desktopbrowser kunt gebruiken, die doorgaans veel meer schermruimte heeft om de ware locatie van een URL te onthullen.
Overweeg een wachtwoordmanager. Wachtwoordmanagers koppelen gebruikersnamen en inlogwachtwoorden aan specifieke services en URL's. Als u op een bedrieglijke site terechtkomt, hoe overtuigend deze er ook uitziet, uw wachtwoordbeheerder zal zich niet voor de gek laten houden omdat hij de site herkent aan de URL, niet aan het uiterlijk.
Haast je niet om je 2FA-code in te voeren. Gebruik de verstoring in je workflow (bijvoorbeeld het feit dat je je telefoon moet ontgrendelen om toegang te krijgen tot de codegenerator-app) als een reden om die URL een tweede keer te controleren, voor de zekerheid, om zeker te zijn.

Onthoud dat phishing-boeven tegenwoordig erg snel gaan om nieuwe domeinnamen zo snel mogelijk te melken.

Vecht terug tegen hun haast door je tijd nemen.

Onthoud die twee handige uitspraken: Stoppen. Denken. Aansluiten.

En nadat je bent gestopt en hebt gedacht: Geef het bij twijfel niet uit.

Generatieve data-intelligentie

Facebook 2FA phish arriveert slechts 28 minuten nadat het zwendeldomein is gemaakt

Het was 19 minuten over...

Wat te doen?

Ford Q1-winstverwachtingen overtreffen de verwachtingen, ziet de winst voor het hele jaar 'op weg naar het hoge segment' – Autoblog

Luchthavenexploitant Avinor zal Noorwegen uitbouwen tot een internationale testarena voor emissievrije en emissiearme luchtvaart

Laatste intelligentie

Gebruikers verliefd op Microsofts Image to Video Tool – VASA-

Passagiersaantallen Londen Heathrow bereiken record – resultaten voor Q1 2024

Vandaag 65 jaar geleden: de man die met een B-47 onder de machtige Mackinaw-brug vloog

Autokerkhof juweeltje: Acura Vigor uit 1992

Rocket Lab lanceert met succes de missie 'Beginning of the Swarm'

NEAR Protocol bereidt zich voor op AI-aankondigingen om web3 een boost te geven

Chat met ons