Symantec har udstedt en advarsel om, hvad der synes at være en succesfuld fidus, der begås mod brugere af webmail-tjenester, såsom Gmail, Outlook og Yahoo.

den fidus er forklaret i følgende korte video lavet af Symantec.

(Jeg siger, det er en kort video, og det er en kort video på kun 2 minutter 17 sekunder., Men Symantec føler klart, at du har en guldfiskes opmærksomhed, så de har tilføjet et funky beat i baggrunden for at forhindre dig i at slukke).

for dem, der ikke kan tåle baggrundsmusikken, er her en forklaring på, hvordan du kan stjæle en e-mail-konto, bare ved at kende dit offers mobiltelefonnummer.

i nedenstående eksempel vil vi forestille os, at en angriber forsøger at hacke sig ind på en Gmail-konto, der tilhører et offer kaldet Alice.,Alice registrerer sit mobiltelefonnummer med Gmail, så hvis hun nogensinde glemmer sin adgangskode, sender Google hende en SMS-besked, der indeholder en rednings verifikationskode, så hun kan få adgang til sin konto.

en dårlig fyr – lad os kalde ham Malcolm – er ivrig efter at bryde ind på Alice ‘ s konto, men kender ikke hendes adgangskode. Imidlertid, han kender Alice ‘ s e-mail-adresse og telefonnummer.

så han besøger Gmail-login-siden og indtaster Alice ‘ s e-mail-adresse. Men Malcolm kan selvfølgelig ikke indtaste Alice ‘ s adgangskode korrekt (fordi han ikke ved det).,

så i stedet klikker han på “brug for hjælp?”link, der normalt bruges af legitime brugere, der har glemt deres adgangskoder.

Snarere end at vælge en af de andre muligheder, Malcolm vælger at “Få en bekræftelseskode på min telefon:” at have en SMS-besked, der indeholder en seks-cifret sikkerhedskode, som sendes til Alice ‘ s mobiltelefon.

Dette hvor tingene bliver luskede.

fordi Malcolm på dette tidspunkt sender Alice en tekst, der foregiver at være Google, og siger noget i retning af:

“Google har registreret usædvanlig aktivitet på din konto., Svar venligst med koden sendt til din mobile enhed for at stoppe uautoriseret aktivitet.”

Alice, at tro, at meddelelsen er legitim, svar med den bekræftelseskode, som hun netop er blevet sendt af Google.Malcolm kan derefter bruge koden til at indstille en midlertidig adgangskode og få kontrol over Alice ‘ s e-mail-konto.,

Hvis Malcolm var opsat på ikke at vække mistanke, og fortsætte med at se alle mails, der modtager Alice for en overskuelig fremtid, så kan det være, at han vil omkonfigurere hendes e-mail til automatisk at sende fremtidige meddelelser til en konto under hans kontrol, og send derefter en SMS til hende, som indeholder den nyligt reset password:

“Tak for at bekræfte din Google-konto., Din midlertidige adgangskode er “

selvom Alice ændrer sin adgangskode på et senere tidspunkt, vil Malcolm fortsætte med at modtage sin private e-mail-korrespondance, medmindre hun ser nøje på sin kontos indstillinger.

kort sagt – det er et grimt stykke social engineering, som det er nemt at forestille sig at arbejde imod mange mennesker.

Så hvad er løsningen?

Nå, det enkleste råd er at være mistænksom over for SMS – beskeder, der beder dig om at sende en bekræftelseskode tilbage-især hvis du ikke anmodede om en bekræftelseskode i første omgang.,

Jeg spekulerer dog på, hvor mange mennesker, når de står over for en meddelelse, som de mener at være fra Google eller Yahoo, ville handle på det med det samme, med lidt tænkning af konsekvenserne. Trods alt, en af de største bekymringer mange mennesker måtte have i denne dag og alder er at blive afskåret fra deres e-mail-konto.

for flere detaljer, tjek blogindlægget af Symantecs sla .omir gr .onko .ski.

og for råd om, hvordan du bedre beskytter din emaileb-e-mail-konto, skal du sørge for at lytte til denne episode af podcasten “Smashing Security”:

fandt denne artikel interessant?, Følg Graham Cluley på T .itter for at læse mere af det eksklusive indhold, vi poster.Graham Cluley er en veteran fra antivirusindustrien, der har arbejdet for en række sikkerhedsfirmaer siden de tidlige 1990 ‘ ere, da han skrev den første version nogensinde af Dr. Solomons antivirusværktøj til .indo .s. Nu er han en uafhængig sikkerhedsanalytiker, han optræder regelmæssigt medie og er en international offentlig taler om emnet computersikkerhed, hackere og online privatliv.Følg ham på T .itter på @gcluley, eller slip ham en e-mail.