Jeg var en håndsbredde væk fra der ankommer — uanmeldt og uventede — i midten af en motorcykel rally, svang mit kamera for en falsk fotografering job, og alle, fordi jeg troede, at indholdet af en mail, som jeg troede var sendt fra en ven.
Hvis jeg faldt for nogen af de forsøg, og klikkede igennem, jeg ville blive mødt med en side, der siger “Hej Charlie” med Cofense logo og en smiley, humørikon, som jeg hurtigt udviklet et had til sammen et irrationelt ønske om at slå min skærm, når det dukkede op.
Se også: Microsoft: Office 365 får automatisk svar til phishing, grimme links, malware
Den første bølge
De første par var genkendelige phishing-forsøg, der involverer en falsk følgeseddel fra DHL og en “ordrebekræftelse” fra, hvad der syntes at være Amazon, da der sigtes mod branding.
Jeg modtog derefter en [ klippet besked ] e-mail, der indeholder et link til den oprindelige besked’ – en fælles phishing metode, der anvendes til at omgå Sikker e-Mail-Gateway (SEG) kontrol, såsom dem, der tilbydes af Microsoft, og Proofpoint.
Så langt, så godt, og min værdighed bevares. Well, i det mindste for et par dage.
Snaren
Som et spyd-phishing-forsøg, det var smukt, men kræver en sammenhæng at forklare.
Jeg har været en del af den to-scene i mange år. Mange af mine venner er stadig aktiv i biker fællesskab, og nogle gange, jeg går til en populær rally, som indebærer, camping og live musik i løbet af nogle dage.
Jeg gik glip af arrangementet sidste år-et faktum, som phishing-hold var ikke klar over, men vigtigt i forhold til, hvorfor jeg var rulles i.
Jeg har også dække over en plakat, der er indlejret i det budskab, som samtidig er meget lig den sande begivenhed plakat, blev der mangler vigtige oplysninger, såsom klubbens fulde navn.
Måske, hvis det ikke havde været for 10 pm om natten, når e-mailen blev sendt, og jeg var ikke nyder mit andet glas vin i den tid, jeg ville have bemærket.
I stedet, jeg svarede på den mail, som jeg ville have gjort, hvis afsenderen var faktisk min ven — at lade ham vide, at jeg kunne gøre det fredag og lørdag aften, beder, hvis jeg kunne kaste op i mit telt med klubben, og hvis øl møntefterligninger, der var acceptable i stedet for betaling, efterbehandling fra den svare med et X.
Jeg tilbragte resten af min aften undrer dig over, hvilket kamera linser til at bringe, hvor mit telt var, hvis jeg stadig havde en luftmadras, som jeg kunne bruge (og hvor har jeg lagt at pumpe?), og der kan muligvis kat-sidde for en dag eller to med så kort varsel.
Ikke at være tilfreds med det, der gør mig tror jeg ville være på en campingplads i løbet af weekenden, den næste dag, min trofaste phishere forsøgte igen at lokke mig til at klikke på et link, der sender følgende svar:
“Perfekt. Tak så meget for at hjælpe. Faktisk tænker over det, vide, hvor godt mit bryllup fotos blev jeg stille og roligt glade for vores planlagte fotograf var nødt til at trække sig ud. Hans skud sidste år forlod en smule tilbage at ønske….Jeg tror, han havde nydt bar lidt for meget. Tag et kig! LOL”
.. samt et link til at hvad der syntes at være billeder, der er gemt via Google.
Omtale af hans bryllup fotos, der alene var nok til at fremkalde tillid, og nok til at narre mig til at klikke på billedgalleri link — meget til min ærgrelse, når jeg indså, at jeg var blevet narret.
Den phish var sådan en blændende succes, at den e-mail, at min ‘ven’ jeg også nævnte i min tidligere partner. Dette gav phishing-team endnu mere ammunition mod mig, som fører dem til at købe alle sine konti på de sociale medier og fotos af os, som kunne have været brugt i nye, målrettede kampagner.
Hvis phishing simulation var blevet legitimt, ikke kun kunne dette have resulteret i et besøg til en ondsindet hjemmeside eller levering af malware nyttelast, men det kunne også have kompromitteret min fysiske sikkerhed. Hvis en trussel skuespiller lykkedes mig at finde min adresse, og sendte mig på min vej til en begivenhed, de kunne have taget mulighed for — at vide at jeg ville være fraværende, i det mindste indtil ordningen blev afdækket — at infiltrere mit hjem, mens jeg var væk.
Det kan lyde som lidt af et stræk, men mærkeligere ting er sket i verden af social engineering.
Så, hvad er det næste?
Holdet allernådigst gav mig en dag eller to til at gendanne fra min lammende forlegenhed. Den næste meddelelse, forsøgt at lokke mig til at besøge et link, som lovede at give en optaget talebesked, tilsyneladende er sendt fra en af mine redaktører — og gjort brug af deres ægte celle nummer. Denne phishing-forsøg mislykkedes, da jeg aldrig modtager voice-baserede beskeder.
Hvis det var så vigtigt, min kollega ville blot en mail eller ring til mig direkte. Også, jeg har en irrationel had til voicemail, så jeg ville email tilbage alligevel, uanset hvad.
Det næste eksempel, jeg fik øje på var et simpelt forsøg på, i hvilket navn og e-mail-adresse for en kollega, var forfalsket. Den besked sagde en kalender, der havde været delt med mig. Denne ene, for ikke — ikke fordi det ikke til at fremstå som lovlige, men udelukkende fordi vi ikke kan dele kalendere med henblik på at forhindre udbredt tidsplan kaos.
Næsten…
Den næste phishing besked blev en tæt opkald. Kommer i med emnet beskeden “Speaker Invitation til 2020 forbrugerprodukter Konference,” dette billede-baseret e-mail beder mig om at overveje at tale på den falske begivenhed. Layout af meddelelsen, er det sprog, der bruges, omtale af os tilsyneladende møde på Qualcomm conference-et arrangement, jeg deltog i Hawaii sidste år-alle syntes det helt plausibelt.
Så, hvorfor har denne fejl? For en grund og en grund alene. Det blev sendt i midten af en travl dag, og jeg glemte at svare, og derefter den e-mail blev nedsænket i den normale strøm af hundredvis jeg modtage en dag.
Fanget igen!
Vidunderligt. Phishing-team clocket på ideen om, at en person, der udgiver online, modtager jeg e-mails om lejligheden over stavefejl eller grammatiske spørgsmål. Journalister modtager disse e-mails — omend ikke altid så høflig som phishing forsøg på nedenfor-og generelt kan de være nyttige.
E-mailen blev sendt sent om natten, så jeg tog det op første ting i morgen. Jeg var ikke helt vågen, og så selvom messenger sagde et screenshot var nedenfor og i stedet et link, hjerne tåge havde endnu ikke forbi ind i en næsten ikke-funktionel tåge, og jeg klikkede på.
Luften var så behæftet med mine skrig af harme og et udvalg af farverige forbandelser, der aldrig ville blive sagt i min bedstemors for hørevidde.
Bryllup
Sociale medier detektivevner resulteret i en liste af mulige familiemedlemmer, lige fra min bror, at fætre og kusiner, deres partnere og børn — primært på grund af en særlig familie-medlem, som havde en meget åben, offentlig tilstedeværelse online. En af mine fætre og kusiner er for nylig blevet gift, og dette gav foder til en anden ondsindet e-mail.
I denne, min fætter blev efterlignet, gennem en fælles Google-Fotos, bryllup album. Mens jeg har været her venter en ægte galleriet for at slå op på et tidspunkt, denne e-mail, ringede alarmklokkerne, da min fætter havde ikke min e-mail adresse til min viden, og de billeder, der trak som eksempel fotos var allerede på de sociale medier.
En Jaguar?
Min far ‘ s bil, en Jaguar, er det fyrtårn af lys i hans øjne og har en fremtrædende plads i både hans hjerte og på sociale medier. Holdet opdagede dette, og brugte bilen som lokkemad i en tilbagebetaling phish.
Desværre, jeg ikke er den stolte ejer af sådan et pragt eksemplar af en bil og som e-mail blev sendt til min far, der var ingen grund for mig til at tage agnen. Bin.
Sidst, men ikke mindst, en Twitter-hack
Forskerholdet kortlagt mine forbindelser og finpudset i én af mine bedste venner, der ironisk nok sker for at være en politibetjent, der beskæftiger sig med svig og online-svindel på en daglig basis.
Efter bekræftelse af, at det venskab, via sociale medier, de udgjorde, som min ven, gav ‘hendes’ en forfalsket e-mail-adresse, og send en panik-mode meddelelse hævde, at min Twitter var blevet hacket, sammen med et skærmbillede, som tilsyneladende viser, at min konto var blevet kompromitteret.
Jeg vidste, at dette at være falsk som det sprog, der anvendes i e-mailen ikke passer til hende. Men efter at have sendt et meget lignende budskab mig til en tidligere kollega (sammen med et screenshot), når deres personlige hjemmeside havde været graffitied med politisk propaganda år tilbage, kan jeg se hvorfor dette kunne arbejde.
Vigtige grillbarer
Efter simuleringen er slut, jeg var forsynet med et dossier med alle oplysninger Cofense holdet formåede at samle på mig. Helt ærligt, det var skræmmende.
Alt blev indsamlet via offentlige kilder i hvad der er kendt som open source intelligence (OSINT). Nogle af de oplysninger, der var en overraskelse for mig, herunder sociale medier konti, der ejes af venner og familie, som jeg ikke vidste eksisterede, og endnu nævnes mig i nogle måde, og mens min personlige konti er ret låst ned, en masse af data, der er høstet fra den alt for åbne profiler og social media tilstedeværelse af mine forbindelser.
Det punkt at huske er, at i en verden af sociale medier, vores venner og forbindelser fælles ansvar for vores privatliv, også. Et svagt led i kæden, om det er en åben Facebook-profil eller en uskyldig tweet og foto sendt ud i æteren, kan give vigtige oplysninger, som bestemmer et spyd-phishing-forsøg succes rate.
Du bør være skeptiske over for hver e-mail du modtager, især i betragtning af, at vores privatliv er også i hænderne på andre. Samtidig lettere sagt end gjort, når du har en konstant fuld indbakke til at tackle, som jeg lærte i hele dette eksperiment, der råder i umiddelbare følelsesmæssige reaktioner og nysgerrighed kan mindske risikoen for, at du ender med kompromitterede konti eller enheder.
Hvordan til at beskytte dig mod phishing-angreb
Cofense givet en række anbefalinger til at hjælpe med at holde dig beskyttet:
- Være skeptisk over for hver besked, især når du har travlt eller forhastet.Hold dine følelser i skak.Vær mistænksom over for historier, der er for gode/dårlige til at være sandt.At undersøge forbindelsen. Før musen hen over det på en desktop til at se den destination, eller hold et par sekunder på mobile (ikke trykke på!).Vær forsigtig med mobile enheder. Den lille skærm gør indikatorer svært at få øje på. De fleste e-mails kan vente, indtil du er på dit skrivebord, hvor det er nemmere at tage et nærmere kig.Klik ikke på links i en e-mail. Snarere, gå til et velkendt og legitimt ressource, hvis du kan, ideelt set gennem bogmærker.Du må ikke downloade vedhæftede filer, ud af nysgerrighed.Kontrollere afsenderen. Selv om du kender afsenderen, og noget ser ud fra, at nå ud til den pågældende person bruger hans eller hendes telefon nummer eller en anden kontaktperson metode, der er opført i dine kontakter eller i selskab bibliotek.Rapportere enhver mistanke om phishing-angreb, at dit IT-team/vejleder for at forhindre andre fra at blive offer for den samme e-mail.
Tidligere og relaterede dækning
Disse er de mest almindelige typer af phishing-e-mails nå din indbakke
Phishing-angreb: Hvorfor vi er stadig ved at tabe kampen mod falske e-mails
Phishing: det er de virksomheder, som hackere foregive, når de forsøger at stjæle dine data
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Mere om privatlivets fred
Oakland følger San Francisco ‘ s forspring i at forbyde facial anerkendelse tech
Microsoft Office 365: Forbudt i tyske skoler om beskyttelse af privatlivets fred frygter
Woz ønsker du at få ud af Facebook lige nu
Apples Tim Cook: Silicon Valley har skabt privatlivets fred, overtræder “kaos fabrik”
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre