We’ll tell this story primarily through the medium of images, because a picture is worth 1024 words.

This cybercrime is a visual reminder of three things:

• It’s easy to fall for a phishing scam nếu bạn đang vội.
• Cybercriminals don’t waste any time getting new scams going.
• 2FA isn’t a cybersecurity panacea, so you still need your wits about you.

It was 19 minutes past…

At 19 minutes after 3 o’clock UK time today [2022-07-01T14:19:00.00Z], the criminals behind this scam registered a generic and unexceptionable domain name of the form control-XXXXX.com, Nơi XXXXX was a random-looking string of digits, looking like a sequence number or a server ID:

28 minutes later, at 15:47 UK time, we received an email, linking to a server called facebook.control-XXXX.com, telling us that there might be a problem with one of the Facebook Pages we look after:

As you can see, the link in the email, highlighted in blue by our Oulook email client, appears to go directly and correctly to the facebook.com miền.

But that email isn’t a plaintext email, and that link isn’t a plaintext string that directly represents a URL.

Instead, it’s an HTML email containing an HTML link where the văn bản of the link looks like a URL, but where the actual link (known as an href, viết tắt của tham chiếu siêu văn bản) goes off to the crook’s imposter page:

As a result, clicking on a link that looked like a Facebook URL took us to the scammer’s bogus site instead:

Apart from the incorrect URL, which is disguised by the fact that it starts with the text facebook.contact, so it might pass muster if you’re in a hurry, there aren’t any obvious spelling or grammatical errors here.

Facebook’s experience and attention to detail means that the company probably wouldn’t have left out the space before the words “If you think”, and wouldn’t have used the unusual text ex to abbreviate the word "thí dụ".

But we’re willing to bet that some of you might not have noticed those glitches anyway, if we hadn’t mentioned them here.

If you were to scroll down (or had more space than we did for the screenshots), you might have spotted a typo further along, in the content that the crooks added to try to make the page look helpful.

Or you might not – we highlighted the spelling mistake to help you find it:

Next, the crooks asked for our password, which wouldn’t usually be part of this sort of website workflow, but asking us to authenticate isn’t totally unreasonable:

We’ve highlighted the error message “Password incorrect”, which comes up whatever you type in, followed by a repeat of the password page, which then accepts whatever you type in.

This is a common trick used these days, and we assume it’s because there’s a tired old piece of cybersecurity advice still knocking around that says, “Deliberately put in the wrong password first time, which will instantly expose scam sites because they don’t know your real password and therefore they’ll be forced to accept the fake one.”

To be clear, this has NEVER been good advice, not least when you’re in a hurry, because it’s easy to type in a “wrong” password that is needlessly similar to your real one, such as replacing pa55word! with a string such as pa55pass! instead of thinking up some unrelated stuff such as 2dqRRpe9b.

Also, as this simple trick makes clear, if your “precaution” involves watching out for apparent failure followed by apparent success, the crooks have just trivially lulled you into into a false sense of security.

We also highlighted that the crooks also deliberately added a slightly annoying consent checkbox, just to give the experience a veneer of official formality.

Now you’ve handed the crooks your account name and password…

…they immediately ask for the 2FA code displayed by your authenticator app, which theoretically gives the criminals anywhere between 30 seconds and a few minutes to use the one-time code in a fraudulent Facebook login attempt of their own:

Even if you don’t use an authenticator app, but prefer to receive 2FA codes via text messages, the crooks can provoke an SMS to your phone simply by starting to login with your password and then clicking the button to send you a code.

Finally, in another common trick these days, the criminals soften the dismount, as it were, by casually redirecting you to a legitimate Faceook page at the end.

This gives the impression that the process finished without any problems to worry about:

Phải làm gì?

Đừng rơi vào những trò gian lận như thế này.

• Không sử dụng các liên kết trong email để đến các trang “khiếu nại” chính thức trên các trang mạng xã hội. Tự tìm hiểu nơi đi và lưu giữ một bản ghi cục bộ (trên giấy hoặc trong dấu trang của bạn), để bạn không bao giờ cần sử dụng các liên kết web email, cho dù chúng chính hãng hay không.
• Kiểm tra URL email một cách cẩn thận. Một liên kết có văn bản trông giống như một URL không nhất thiết phải là URL mà liên kết hướng bạn đến. Để tìm liên kết đích thực sự, hãy di chuột qua liên kết đó (hoặc chạm và giữ liên kết trên điện thoại di động của bạn).
• Kiểm tra tên miền trang web cẩn thận. Mọi ký tự đều quan trọng và phần kinh doanh của bất kỳ tên máy chủ nào là ở cuối (phía bên tay phải trong các ngôn ngữ Châu Âu đi từ trái sang phải) chứ không phải ở đầu. Nếu tôi sở hữu miền dodgy.example thì tôi có thể đặt bất kỳ tên thương hiệu nào mà tôi thích ngay từ đầu, chẳng hạn như visa.dodgy.example or whitehouse.gov.dodgy.example. Đó chỉ đơn giản là các miền phụ của miền lừa đảo của tôi và cũng không đáng tin cậy như bất kỳ phần nào khác của dodgy.example.
• Nếu tên miền không hiển thị rõ ràng trên điện thoại di động của bạn, hãy cân nhắc đợi cho đến khi bạn có thể sử dụng trình duyệt máy tính để bàn thông thường, trình duyệt này thường có nhiều không gian màn hình hơn để hiển thị vị trí thực của một URL.
• Cân nhắc một trình quản lý mật khẩu. Trình quản lý mật khẩu liên kết tên người dùng và mật khẩu đăng nhập với các dịch vụ và URL cụ thể. Nếu bạn kết thúc trên một trang web mạo danh, bất kể nó trông thuyết phục đến mức nào, trình quản lý mật khẩu của bạn sẽ không bị đánh lừa bởi vì nó nhận ra trang web bằng URL của nó chứ không phải bằng vẻ bề ngoài của nó.
• Đừng vội đặt mã 2FA của bạn. Sử dụng sự gián đoạn trong quy trình làm việc của bạn (ví dụ: thực tế là bạn cần mở khóa điện thoại của mình để truy cập ứng dụng tạo mã) làm lý do để kiểm tra URL đó lần thứ hai, chỉ để chắc chắn, để chắc chắn.

Remember that phishing crooks move really fast these days in order to milk new domain names as quickly as they can.

Fight back against their haste by taking your time.

Remember those two handy sayings: Dừng lại. Nghĩ. Liên kết.

And after you’ve stopped and thought: Nếu nghi ngờ, đừng đưa ra.