Мы будем рассказывать эту историю главным образом с помощью изображений, потому что изображение стоит 1024 слов.

Это киберпреступление является визуальным напоминанием о трех вещах:

• Легко попасться на фишинговую аферу если вы спешите.
• Киберпреступники не теряют времени даром начинаются новые аферы.
• 2FA не панацея от кибербезопасности, так что вам все еще нужно ваше остроумие о вас.

Прошло 19 минут…

Сегодня в 19 минут 3 часа по британскому времени [2022-07-01T14:19:00.00Z] преступники, стоящие за этой аферой, зарегистрировали общее и безупречное доменное имя вида control-XXXXX.com, Где XXXXX представлял собой случайную строку цифр, похожую на порядковый номер или идентификатор сервера:

28 минут спустя, в 15:47 по британскому времени, мы получили электронное письмо со ссылкой на сервер под названием facebook.control-XXXX.com, сообщая нам о возможной проблеме с одной из страниц Facebook, за которыми мы ухаживаем:

Как видите, ссылка в письме, выделенная нашим почтовым клиентом Oulook синим цветом, ведет прямо и правильно к facebook.com домена.

Но это электронное письмо не является электронным письмом с открытым текстом, и эта ссылка не является строкой открытого текста, которая непосредственно представляет URL-адрес.

Вместо этого это электронное письмо в формате HTML, содержащее HTML-ссылку, в которой текст ссылки выглядит как URL, но где актуальная ссылка (известный как href, Короче для гипертекстовая ссылка) переходит на страницу самозванца мошенника:

В результате, нажав на ссылку, которая выглядела как URL-адрес Facebook, мы вместо этого попали на поддельный сайт мошенника:

Помимо неправильного URL-адреса, который замаскирован тем, что начинается с текста facebook.contact, так что если вы спешите, это может пройти проверку, здесь нет очевидных орфографических или грамматических ошибок.

Опыт Facebook и внимание к деталям означают, что компания, вероятно, не упустила бы пробел перед словами. "Если вы считаете", и не стал бы использовать необычный текст ex сокращать слово "пример".

Но мы готовы поспорить, что некоторые из вас могли бы и не заметить эти глюки, если бы мы не упомянули их здесь.

Если бы вы прокрутили вниз (или у вас было больше места для скриншотов, чем у нас), вы могли бы заметить опечатку дальше, в контенте, который мошенники добавили, чтобы страница выглядела полезной.

А может и нет — мы выделили орфографическую ошибку, чтобы помочь вам ее найти:

Затем мошенники запросили у нас пароль, который обычно не является частью такого рабочего процесса веб-сайта, но просьба пройти аутентификацию не является совершенно необоснованной:

Мы выделили сообщение об ошибке "Неверный пароль", который появляется, что бы вы ни вводили, за которым следует повтор страницы пароля, которая затем принимает все, что вы вводите.

Это распространенная уловка, используемая в наши дни, и мы предполагаем, что это связано с тем, что до сих пор витает старый совет по кибербезопасности, который гласит: «Намеренно вводите неправильный пароль в первый раз, что мгновенно выявит мошеннические сайты, потому что они не знают». ваш настоящий пароль, и поэтому они будут вынуждены принять поддельный».

Чтобы было ясно, это НИКОГДА не было хорошим советом, не в последнюю очередь, когда вы спешите, потому что легко ввести «неправильный» пароль, который без необходимости похож на ваш настоящий, например, заменить pa55word! со строкой, такой как pa55pass! вместо того, чтобы придумывать некоторые несвязанные вещи, такие как 2dqRRpe9b.

Кроме того, как ясно показывает этот простой прием, если ваша «мера предосторожности» включает в себя наблюдение за очевидной неудачей, за которой следует очевидный успех, мошенники просто банально внушили вам ложное чувство безопасности.

Мы также подчеркнули, что мошенники также намеренно добавили немного раздражающий флажок согласия, просто чтобы придать опыту вид официальной формальности.

Теперь вы передали мошенникам имя и пароль своей учетной записи…

… они немедленно запрашивают код 2FA, отображаемый вашим приложением-аутентификатором, что теоретически дает преступникам от 30 секунд до нескольких минут, чтобы использовать одноразовый код для мошеннической попытки авторизации в Facebook:

Даже если вы не используете приложение для аутентификации, а предпочитаете получать коды 2FA через текстовые сообщения, мошенники могут спровоцировать SMS на ваш телефон, просто начав входить в систему с вашим паролем, а затем нажав кнопку, чтобы отправить вам код.

Наконец, еще один распространенный в наши дни трюк: преступники как бы смягчают отключение, небрежно перенаправляя вас на законную страницу Faceook в конце.

Это создает впечатление, что процесс завершился без каких-либо проблем:

Что делать?

Не попадайтесь на подобные уловки.

• Не используйте ссылки в электронных письмах для доступа к официальным страницам «апелляций» в социальных сетях. Узнайте, куда идти, и ведите локальный учет (на бумаге или в своих закладках), чтобы вам никогда не приходилось использовать веб-ссылки в электронной почте, независимо от того, подлинные они или нет.
• Внимательно проверяйте URL-адреса электронной почты. Ссылка с текстом, который сам по себе выглядит как URL-адрес, не обязательно является URL-адресом, на который ведет ссылка. Чтобы найти настоящую целевую ссылку, наведите указатель мыши на ссылку (или нажмите и удерживайте ссылку на мобильном телефоне).
• Внимательно проверьте доменные имена веб-сайтов. Каждый символ имеет значение, и бизнес-часть любого имени сервера находится в конце (правая часть в европейских языках, которые идут слева направо), а не в начале. Если я владею доменом dodgy.example тогда я могу указать любое понравившееся мне название бренда в начале, например visa.dodgy.example or whitehouse.gov.dodgy.example. Это просто поддомены моего мошеннического домена, и они так же ненадежны, как и любая другая часть dodgy.example.
• Если доменное имя нечетко видно на вашем мобильном телефоне, подождите, пока вы не сможете использовать обычный настольный браузер, который обычно имеет гораздо больше места на экране, чтобы показать истинное местоположение URL-адреса.
• Рассмотрим менеджер паролей. Менеджеры паролей связывают имена пользователей и пароли для входа в систему с определенными службами и URL-адресами. Если вы окажетесь на сайте-самозванце, каким бы убедительным он ни выглядел, ваш менеджер паролей не будет обманут, потому что он распознает сайт по его URL-адресу, а не по внешнему виду.
• Не спешите вводить код 2FA. Используйте сбой в рабочем процессе (например, тот факт, что вам нужно разблокировать телефон, чтобы получить доступ к приложению генератора кода) в качестве причины проверить этот URL-адрес во второй раз, просто чтобы быть уверенным, чтобы быть уверенным.

Помните, что в наши дни фишинговые мошенники действуют очень быстро, чтобы доить новые доменные имена как можно быстрее.

Дайте отпор их спешке, не торопясь.

Помните эти две удобные поговорки: Останавливаться. Считать. Соединять.

И после того, как вы остановились и подумали: Если сомневаетесь, не выдавайте.