Haak, lijn en zinklood: Hoe ik het slachtoffer van phishing-aanvallen – opnieuw en opnieuw

0
9

Ik was een haarbreed afstand van aankomst — onaangekondigd en onverwacht — in het midden van een motorcycle rally, zwaaiend met mijn camera voor een nep-fotografie baan, en dat allemaal omdat ik geloofde dat de inhoud van een e-mail dat ik dacht dat het was verzonden door een vriend.

Als ik viel voor een van de pogingen en klikte door, ik zou een ontmoeting met een pagina met te zeggen “Hallo Charlie” met de Cofense logo en een smiley emoticon die ik ontwikkelde al snel een haat voor naast een irrationeel verlangen om punch mijn scherm toen het verscheen.

Zie ook: Microsoft: Office 365 krijgt een automatisch antwoord om phishing, vervelende links, malware

De eerste golf

De eerste paar waren herkenbaar phishing-pogingen, waarbij een nep-levering opmerking van DHL en een “Order Bevestiging” van wat leek op Amazon, gezien de gelijkenis van de branding.

Daarna kreeg ik een [ geknipt bericht ] e-mail met een link naar het originele bericht’ — een gemeenschappelijke phishing-methode gebruikt voor het omzeilen van Beveiligde e-Mail Gateway (SEG) controles, zoals die worden aangeboden door Microsoft en Proofpoint.

screenshot-2019-10-06-at-17-54-15.png

screenshot-2019-09-12-at-17-06-09.png

So far, So good, en mijn waardigheid behouden. Nou, in ieder geval voor een paar dagen.

Verstrikt

Als een van spear-phishing-poging was het prachtig vormgegeven, maar vereist een bepaalde context uit te leggen.

Ik heb deel uitgemaakt van de motorfiets scène voor vele jaren. Veel van mijn vrienden zijn nog steeds actief in de mtb-gemeenschap, en soms ga ik naar een populaire rally, die houdt van kamperen en live muziek in de loop van enkele dagen.

Ik miste het evenement van vorig jaar — een feit dat de phishing-team niet op de hoogte was, maar belangrijk is in verband met de reden waarom ik werd binnengehaald.

Ik heb ook verdoezeld een poster ingebed in de boodschap die, hoewel zeer vergelijkbaar met het ware gebeurtenis poster, was het missen van belangrijke gegevens zoals de club van de volledige naam.

Misschien als het nog niet is 10 uur in de avond als de e-mail was verzonden en ik was niet te genieten van mijn tweede glas wijn in de tijd, ik zou opgemerkt hebben.

In plaats daarvan heb ik gereageerd op de e-mail als ik zou hebben gedaan als de afzender was eigenlijk mijn vriend — hem te laten weten dat ik kon doen op de vrijdag-en zaterdagavond, met de vraag of ik kon pitch mijn tent met de club en als jeton aanvaardbaar waren in plaats van de betaling, het afwerken van de antwoorden met een X.

Ik heb de rest van mijn avond af welke camera lenzen te brengen, waar mijn tent was, als had ik nog een luchtbed ik zou kunnen gebruiken (en waar heb ik die pomp?), en die kan eventueel cat-sit voor een dag of twee op zo ‘ n korte termijn.

Niet tevreden te zijn met het maken van me geloven dat ik zou worden op een camping in het weekend, de volgende dag, mijn trouwe phishers opnieuw probeerde me te lokken tot het klikken op een koppeling, het verzenden van de volgende reactie:

“Perfect. Heel erg bedankt voor het helpen. Eigenlijk, denken, weten hoe goed mijn bruiloft foto ‘ s waren ben ik rustig blij dat onze geplande fotograaf moest trekken. Zijn schoten vorig jaar liet een beetje te wensen over….Ik denk dat hij had genoten van de bar, een beetje te veel. Neem een kijkje! LOL”

.. evenals een link naar wat leek op beelden die zijn opgeslagen via Google.

Het noemen van zijn bruiloft foto ‘ s alleen al was genoeg te wekken vertrouwen en genoeg om gek te klikken in de image gallery link — tot mijn mortification toen ik besefte dat ik zou worden opgelicht.

De phish was een verblindend succes dat in de e-mail om mijn ‘vriend’, ik noemde ook mijn ex-partner. Dit gaf de phishing-team zelfs meer munitie tegen mij, die hen leidt naar de bron van al zijn social media accounts en foto ‘ s van ons, die gebruikt kunnen worden in nieuwe, gerichte campagnes.

Als de phishing-simulatie legitiem was geweest, niet alleen zou dit hebben geresulteerd in een bezoek aan een kwaadaardige website of de levering van malware payloads, maar er kan ook aangetast mijn fysieke beveiliging. Als een bedreiging acteur geslaagd om mijn adres en stuurde me op mijn weg naar een evenement, ze zou hebben gemaakt van de gelegenheid — wetend dat ik afwezig, ten minste tot de regeling werd ontdekt — te infiltreren in mijn huis, terwijl ik weg was.

Het klinkt misschien een beetje een stretch, maar vreemde dingen zijn gebeurd in de wereld van social engineering.

Dus, wat is de volgende stap?

Het team genadig gaf me een dag of twee om te herstellen van mijn verlammende verlegenheid. Het volgende bericht probeerde me te lokken bij het bezoeken van een link die beloofd om een opgenomen stem boodschap, blijkbaar verzonden door een van mijn redacteuren — en gebruik gemaakt van hun echte mobiele nummer. Deze phishing-poging is mislukt, omdat ik nog nooit ontvangen voice-gebaseerde berichten.

Als het echt zo belangrijk, mijn collega zou gewoon e-mail of bel mij direct. Ook heb ik een irrationele haat van voicemail, dus ik zou voor de e-mail terug hoe dan ook, hoe dan ook.

screenshot-2019-09-12-at-17-05-51.png

Het volgende voorbeeld dat ik zag, was een eenvoudige poging, waarbij de naam en het e-mailadres van een collega was vervalst. Het bericht zei: een agenda was gedeeld met mij. Deze, ook, mislukt — niet omdat het niet legitiem is, maar puur omdat we niet het delen van agenda ‘ s in het belang van het voorkomen van wijdverbreide schema chaos.

screenshot-2019-10-06-at-22-34-06.png

Bijna…

De volgende phishing-bericht was een close call. Te komen met het onderwerp bericht “Speaker Uitnodiging voor 2020 Consument Producten Conferentie,” dit beeld-gebaseerde e-mail mij vraagt te overwegen spreken op de nep-evenement. De lay-out van het bericht, de taal gebruikt, de vermelding van ons blijkbaar vergadering op de Qualcomm-conferentie — een gebeurtenis woonde ik in Hawaii vorig jaar — alles leek perfect plausibel.

Dus waarom dit niet? Voor een reden en een reden alleen. Het werd verzonden in het midden van een drukke dag en ik ben vergeten te reageren, en vervolgens de e-mail werd ondergedompeld in de normale stortvloed van honderden ik krijg een dag.

screenshot-2019-10-06-at-18-19-38.png

Opnieuw gevangen!

Prachtig. De phishing-team geklokt op het idee dat als iemand die publiceert online, ontvang ik e-mails van de gelegenheid over spelfouten of grammaticale kwesties. Journalisten doen het ontvangen van deze e-mails-zij het niet altijd zo beleefd als de phishing poging zitten onder — en in het algemeen, kunnen ze nuttig zijn.

De e-mail is verzonden ‘ s avonds laat en dus pakte ik het eerste ding in de ochtend. Ik was niet helemaal wakker en hoewel de boodschapper zei een screenshot onder en in plaats daarvan voorzien van een link, de hersenen mist nog had om in een bijna-functionele mist, en ik klikte.

De lucht werd vervolgens gekleurd met mijn schreeuw van verontwaardiging en een selectie van kleurrijke vloeken, die nooit zou worden uitgesproken in mijn oma ‘ s gehoorsafstand.

screenshot-2019-10-06-at-18-46-58.png

De bruiloft

Social media speurwerk resulteerde in een lijst van vermoedelijke leden van het gezin, variërend van mijn broer neven en nichten, hun partners en kinderen — vooral te wijten aan één bepaalde familie lid die had een heel open, publieke aanwezigheid online. Een van mijn neven en nichten onlangs getrouwd en dit is het voer voor een andere kwaadaardige e-mail.

In deze, mijn neef werd geïmiteerd door middel van een gedeelde Google-Foto ‘ s wedding album. Terwijl ik verwachtte een echte galerij om naar een bepaald punt, deze e-mail ging het alarm klokken en als mijn neef had niet mijn e-mail adres in om mijn kennis, en de beelden getrokken als voorbeeld foto ‘ s waren al op sociale media.

screenshot-2019-10-06-at-19-04-09.png

Een Jaguar?

Mijn vader ‘ s auto, een Jaguar, is de baken van licht in zijn ogen en neemt een prominente plaats in zijn hart en op de sociale media. Het team ontdekte dit en gebruikt het voertuig als lokaas in een terugbetaling phish.

Helaas, ik ben niet de trotse eigenaar van dergelijke glorieuze specimen van een auto en als de e-mail was gericht aan mijn vader, er was geen echte reden voor mij om het aas te nemen. Bin.

screenshot-2019-10-06-at-20-07-37.png

Laatste maar niet de minste, een Twitter-hack

Het team toegewezen mijn verbindingen en aangescherpt in op één van mijn beste vrienden, die ironisch genoeg gebeurt om een politie-ambtenaar die zich bezighoudt met fraude en online oplichting op een dagelijkse basis.

Na het bevestigen van de vriendschap via sociale media, worden ze zich voorgedaan als mijn vriend, gaf haar een vervalste e-mail adres, en stuur een paniek-modus bericht te beweren dat mijn Twitter was gehackt samen met een screenshot schijnbaar waaruit blijkt dat mijn rekening was gebracht.

Ik wist dat dit nep is als de taal gebruikt in de e-mail niet geschikt was voor haar. Echter, het versturen van een zeer vergelijkbaar bericht me aan een oud-collega (samen met een screenshot) als hun persoonlijke website is graffiti met politieke propaganda jaar terug, ik kan zien waarom dit zou kunnen werken.

screenshot-2019-10-06-at-20-12-50.png

Key takeaways

Na de simulatie beëindigd, ik was voorzien van een dossier van alle informatie die het Cofense team wist zich te verzamelen op mij. Eerlijk gezegd, het was angstaanjagend.

Alles werd verzameld door middel van openbare bronnen, in wat bekend staat als open source intelligence (OSINT). Een deel van de informatie was een verrassing voor mij, met inbegrip van de sociale media-accounts eigendom van vrienden en familie, waarvan ik niet wist dat die bestond en toch noemde mij in een of andere wijze, en terwijl mijn persoonlijke accounts zijn vrij vergrendeld, veel van de gegevens werd geoogst van de te-open profielen en social media aanwezigheid van mijn verbindingen.

Het punt om te onthouden is dat in de wereld van de sociale media, onze vrienden en connecties te delen verantwoordelijkheid voor onze privacy, ook. Een zwakke schakel in de keten, of dit is een open Facebook-profiel of een onschuldige tweet en foto uitgezonden in de ether, kan belangrijke informatie die bepaalt wanneer een spear-phishing poging het succes te beoordelen.

Je moet sceptisch van elke e-mail die u ontvangt, in het bijzonder gezien het feit dat onze privacy wordt ook in de handen van anderen. Hoewel het gemakkelijker gezegd dan gedaan als je constant een volle inbox te pakken, zoals ik heb geleerd in dit experiment, regerend in de onmiddellijke emotionele reacties en nieuwsgierigheid kan het risico verkleinen dat u eindigen met een gecompromitteerde accounts of apparaten.

Hoe om jezelf te beschermen tegen phishing-aanvallen

Cofense een reeks aanbevelingen om u te helpen beschermd blijven:

    Sceptisch te zijn van elk bericht, vooral als u het druk heeft of gehaast.Houd uw emoties onder controle.Verdachte van verhalen die zich te goed/slecht om waar te zijn.Bestudeer de link. Beweeg de muis over het op een desktop te zien, de bestemming of vast te houden voor een paar seconden op de mobiele (tik niet!).Wees voorzichtig met mobiele apparaten. Het kleine scherm maakt indicatoren moeilijk te herkennen zijn. De meeste e-mails kunt u wachten tot u aan uw bureau, waar het makkelijker is om een kijkje te nemen.Klik niet op links in een e-mail. Integendeel, ga naar een vertrouwde en legitieme bron kunt u, bij voorkeur door middel van bladwijzers.Niet downloaden van bijlagen uit nieuwsgierigheid.Controleer of de afzender. Zelfs als u de afzender kent en er lijkt iets uit te reiken om die persoon met behulp van zijn of haar telefoonnummer of een contact methode die in uw contacten of in de map van het bedrijf.Het melden van eventuele verdachte phishing-aanvallen om van uw IT-team/supervisor om te voorkomen dat anderen het slachtoffer worden van dezelfde e-mail.

Vorige en aanverwante dekking

Dit zijn de meest voorkomende vormen van phishing-e-mails bereiken van uw postvak in
Phishing-aanvallen: Waarom zijn we nog steeds aan het verliezen van de strijd tegen valse e-mails
Phishing: Dit zijn de bedrijven die hackers imiteren als ze probeert te stelen van uw gegevens

Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0

Meer over privacy

Oakland volgt San Francisco ‘ s leiden in een verbod op de gezichtsherkenning tech

Microsoft Office 365: Verboden in duitse scholen over privacy angsten

Woz wil je uitstappen Facebook nu

Apple ‘ s Tim Cook: Silicon Valley heeft gemaakt privacy-schending ‘chaos in de fabriek’

Verwante Onderwerpen:

Beveiliging TV

Data Management

CXO

Datacenters