Ero un pelo di distanza dall’arrivo — improvviso e inaspettato, nel mezzo di un moto raduno, brandendo la mia macchina fotografica per un falso fotografia di lavoro, e tutto perché ho creduto che il contenuto di una mail che ho pensato è stata inviata da un amico.
Se mi sono innamorata di uno dei tentativi e cliccato attraverso, mi sarebbe incontrato con una pagina che dice “Ciao Charlie” con il Cofense logo e uno smile emoticon che ho rapidamente sviluppato un odio per il fianco di un irrazionale desiderio di pugni il mio schermo quando è apparso.
Vedi anche: Microsoft: Office 365 ottiene risposta automatica, il phishing, il brutto collegamenti, malware
La prima ondata
I primi erano riconoscibili tentativi di phishing, che coinvolge un falso nota di consegna da DHL e una “Conferma d’Ordine” da quello che sembrava essere Amazon, data la somiglianza tra il marchio.
Ho ricevuto una [ ritagliato messaggio ] e-mail contenente un link per il ‘messaggio originale’ — comune di phishing metodo utilizzato per bypassare Secure Gateway di Posta (SEG) controlli, come quelli offerti da Microsoft e Proofpoint.
Così lontano, così buono, e la mia dignità è mantenuto. Beh, almeno per un paio di giorni.
Preso in trappola
Come una spear-phishing era ben predisposto, ma richiede un po ‘ di contesto per spiegare.
Ho fatto parte della scena della moto per molti anni. Molti dei miei amici sono ancora attivi nella comunità di biker, e, a volte, vado a un popolare manifestazione, che coinvolge il campeggio e la musica dal vivo nel corso di diversi giorni.
Mi sono perso l’evento dello scorso anno-un fatto che il phishing squadra non era a conoscenza, ma importante in relazione all’perché mi è stato srotolato.
Ho anche visto un poster incorporato nel messaggio che, pur molto simile al vero evento poster, mancava la chiave di dettagli come il club del nome completo.
Forse se non fosse stato 10 di sera, quando è stata inviata la mail e non amavo più il mio secondo bicchiere di vino, al momento, mi avrebbe notato.
Invece, ho risposto all’email come avrei fatto se il mittente era in realtà il mio amico, facendogli sapere che ho potuto fare le notti di venerdì e sabato, chiedendo se ho potuto passo la mia tenda con il club e se la birra gettoni erano accettabili in luogo del pagamento, per finire la risposta con una X.
Ho passato il resto della mia sera chiedendo che le lenti della fotocamera di portare, dove la mia tenda era, se avevo ancora un materassino potrei usare (e dove ho messo la pompa?), e chi potrebbe cat-sitter per un giorno o due, con un preavviso così breve.
Non soddisfatto mi fa credevo di essere in un campeggio durante il fine settimana, il giorno successivo, il mio fedele phisher provato di nuovo per attirare me a fare clic su un link, inviando la seguente risposta:
“Perfetto. Grazie tanto per l’aiuto. In realtà, a pensarci, sapendo quanto è buono il mio matrimonio foto in cui sto tranquillamente soddisfatto il programma del nostro fotografo ha dovuto tirare fuori. I suoi scatti l’anno scorso ha lasciato un po a desiderare….Penso che avrebbe apprezzato il bar un po ‘ troppo. Date un’occhiata! LOL”
.. così come un link a quello che sembrava essere le immagini memorizzate tramite Google.
La menzione del suo matrimonio foto da solo era sufficiente per suscitare fiducia e sufficiente per ingannare me in un clic la galleria di immagini link — con mio gran mortificazione quando ho capito che ero stato truffato.
La truffa era un accecante successo che la e-mail al mio ‘amico’, ho anche citato la mia ex partner. Questo ha dato il phishing squadra ancora più munizioni contro di me, che li conduce all’origine di tutti i suoi account di social media e le foto di noi, che avrebbe potuto essere utilizzato in nuove campagne mirate.
Se il phishing simulazione era stata legittima, non solo questo potrebbe aver portato in visita a un sito web dannoso o la consegna di malware payload, ma potrebbe avere anche compromesso la mia sicurezza fisica. Se una minaccia attore è riuscito a trovare il mio indirizzo di casa e mi ha mandato sulla mia strada per un evento, si potrebbe avere preso l’opportunità — sapendo che sarebbe assente, almeno fino a quando il regime è stato scoperto — per infiltrarsi in casa mia mentre ero via.
Questo potrebbe sembrare un po ‘ di un tratto, ma le cose più strane sono successe nel mondo del social engineering.
Quindi, qual è il passo successivo?
La squadra gentilmente mi ha dato un giorno o due per recuperare dal mio paralizzante imbarazzo. Il messaggio successivo ha tentato di attirare a me a visitare un link con la promessa di fornire un messaggio vocale registrato, apparentemente inviata da uno dei miei editori — e la loro genuina numero di cell. Questo tentativo di phishing non è riuscito, come non ho mai ricevere messaggi vocali i messaggi.
Se è stato importante, il mio collega sarebbe semplicemente chiamare o e-mail direttamente a me. Inoltre, ho un odio irrazionale di segreteria, in modo da la e-mail ogni caso, a prescindere.
Il prossimo esempio ho notato è stato un semplice tentativo, in cui il nome e l’indirizzo email di un collega è stato falsificato. Il messaggio dice un calendario era stato condiviso con me. Questo, troppo, non è riuscito, non perché esso non sembra legittimo, ma semplicemente perché non condividere i calendari nell’interesse di prevenzione diffusa pianificazione caos.
Quasi…
Il prossimo messaggio di phishing è stato un invito a chiudere. Arrivando con l’oggetto del messaggio, “Altoparlante Invito per il 2020 Prodotti di Consumo Conferenza,” questa immagine-based e-mail mi chiede di prendere in considerazione parlando al falso evento. Il layout del messaggio, il linguaggio utilizzato, la menzione di noi a quanto pare incontro presso il Qualcomm conference-un evento a cui ho partecipato in Hawaii lo scorso anno, tutto sembrava perfettamente plausibile.
Così, perchè non funziona? Per un motivo e una sola ragione. È stato inviato nel mezzo di una giornata intensa e mi sono dimenticato di rispondere, e poi l’e-mail è diventato immerso nel normale diluvio di centinaia ricevo un giorno.
Preso di nuovo!
Meraviglioso. Il phishing team colpito per l’idea che qualcuno che pubblica online, ricevo mail in occasione errori di ortografia o di grammatica problemi. I giornalisti non ricevere questi messaggi, anche se non sempre educato come il tentativo di phishing qui sotto, e che, in generale, può essere utile.
La mail è stata inviata a tarda notte e così ho preso la prima cosa al mattino. Non ero abbastanza sveglio e così, anche se il messaggero disse uno screenshot è stato seguito e invece fornito un link, il cervello nebbia era ancora passare in una quasi-funzionale nebbia, e ho cliccato.
L’aria era poi contaminato con il mio urlo di indignazione e una selezione di colorato maledizioni che non sarebbe mai essere pronunciate mia nonna portata d’orecchio.
Il matrimonio
Social media investigazione ha portato in un elenco di probabili membri della famiglia che vanno da mio fratello per i cugini, i loro partner e i bambini-soprattutto a causa di un particolare membro della famiglia che aveva una struttura molto aperta, la presenza di pubblico online. Uno dei miei cugini da poco sposata e il foraggio per un altro dannoso e-mail.
In questo, mio cugino è stato rappresentato mediante la condivisione di Google Foto album di nozze. Mentre io sono stato in attesa di una vera e propria galleria a girare fino a un certo punto, questa e-mail suonò il campanello di allarme come mio cugino non ha avuto il mio indirizzo email per le mie conoscenze, e le immagini tirato in anteprima le foto erano già sui social media.
Una Jaguar?
Mio padre l’auto, una Jaguar, è il faro di luce nei suoi occhi, e detiene un posto di rilievo nel cuore e sui social media. Il team ha scoperto questo e di utilizzo del veicolo come esca in un rimborso di phishing.
Purtroppo, io non sono l’orgoglioso proprietario di un così glorioso campione di un auto e di come l’e-mail era indirizzata a mio padre, non c’era un vero motivo per me di prendere l’esca. Bin.
Ultimo ma non meno importante, un Twitter hack
La squadra mappato le mie connessioni e ha puntato su uno dei miei migliori amici, che per ironia della sorte capita di essere un agente di polizia che si occupa di frodi e truffe on-line su base giornaliera.
Dopo la conferma dell’amicizia attraverso i social media, che hanno posato come il mio amico, dato il ‘suo’ imitato indirizzo e-mail e inviare un panic-mode messaggio, sostenendo che il mio Twitter era stato messo insieme con una schermata apparentemente mostrando che il mio account è stato compromesso.
Sapevo che questo è falso come il linguaggio utilizzato nell’e-mail non è adatto a lei. Tuttavia, dopo aver inviato un messaggio simile a me stesso di un ex collega (insieme con uno screenshot) quando il loro sito web personale era stato graffitied con la propaganda politica, di anni indietro, posso vedere come questo potrebbe funzionare.
Takeaway chiave
Dopo la simulazione finito, mi è stato fornito con un dossier di tutte le informazioni Cofense team è riuscito a raccogliere su di me. Francamente, è stato terrificante.
Tutto è stato raccolto attraverso fonti pubbliche in quello che è conosciuto come open source intelligence (OSINT). Alcune delle informazioni è stata una sorpresa per me, tra cui account di social media di proprietà di amici e famiglia che non sapevo esistesse e ancora mi ha citato in un certo modo, e mentre il mio account personali sono abbastanza bloccato, un sacco di dati è stato raccolto dal troppo-profili aperti e la presenza sui social media dei miei collegamenti.
Il punto da ricordare è che il mondo dei social media, i nostri amici e le connessioni di condividere la responsabilità per la nostra privacy, troppo. Un anello debole della catena, se questo è un open Facebook profilo o innocente, tweet e foto inviati nell’etere, in grado di fornire informazioni chiave che determina una spear-phishing tasso di successo.
Si dovrebbe essere scettici di ogni email che riceverai, in particolare, dato che la nostra privacy è anche nelle mani di altri. Mentre è più facile a dirsi che a farsi quando si ha costantemente la piena posta in arrivo per affrontare, come ho imparato nel corso di questo esperimento, che regna nelle immediate risposte emotive e la curiosità si può mitigare il rischio di finire con un account compromessi o dispositivi.
Come proteggersi da attacchi di phishing
Cofense fornito una serie di raccomandazioni per aiutare a rimanere protetti:
- Essere scettici di ogni messaggio, soprattutto quando si è occupati o affrettato.Mantenere le vostre emozioni sotto controllo.Essere sospettosi di storie che sono troppo bello/brutto per essere vero.Esaminare il link. Passi sopra con il mouse sul desktop per vedere la destinazione o tenere premuto per alcuni secondi sul cellulare (non si tocca!).Essere cauti con i dispositivi mobili. Il piccolo schermo fa indicatori difficile da individuare. La maggior parte delle email può aspettare fino a quando sei alla tua scrivania dove è più facile prendere uno sguardo più da vicino.Non fare clic su un link in una e-mail. Piuttosto, passare a un ambiente familiare e legittima risorsa, se è possibile, idealmente attraverso i segnalibri.Non scaricare allegati di curiosità.Verificare il mittente. Anche se si conosce il mittente e qualcosa sembra fuori, raggiungere quel individuale ” con il suo numero di telefono o un altro metodo di contatto elencati nella rubrica o in azienda directory.Segnalare qualsiasi sospetto attacco di phishing per il vostro team IT/supervisore per impedire ad altri di cadere vittima di una stessa e-mail.
Precedente e relativa copertura
Questi sono i più comuni tipi di e-mail di phishing di raggiungere tua casella di posta
Gli attacchi di Phishing: Perché stiamo ancora perdendo la battaglia contro la falsa e-mail
Phishing: Queste sono le aziende che gli hacker impersonare quando tentano di rubare i vostri dati
Ha un suggerimento? Entrare in contatto in modo sicuro tramite WhatsApp | Segnale a +447713 025 499, o oltre a Keybase: charlie0
Più privacy
Oakland segue di San Francisco, di portare in divieto di riconoscimento facciale tech
Microsoft Office 365: Vietato nelle scuole tedesche sulla privacy paure
Woz vogliono ottenere fuori di Facebook adesso
Apple Tim Cook: la Silicon Valley ha creato privacy-violare ‘caos in fabbrica
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati