A Symantec figyelmeztetést adott ki arról, hogy mi tűnik sikeres csalásnak a webmail szolgáltatások, például a Gmail, Az Outlook és a Yahoo felhasználói ellen.

a csalást a Symantec által készített következő rövid videó magyarázza.

(azt mondom, ez egy rövid videó, csak 2 perc 17 másodperc., De egyértelműen Symantec úgy érzi, hogy a figyelmet span egy aranyhal, így már hozzá egy funky beat a háttérben, hogy ne szunyókál le).

azok számára, akik nem tudják elviselni a háttérzenét, itt van egy magyarázat arra, hogyan lehet ellopni egy e-mail fiókot, csak az áldozat mobiltelefonszámának ismeretében.

az alábbi példában el fogjuk képzelni, hogy egy támadó megpróbálja feltörni az Alice nevű áldozat Gmail-fiókját.,

Alice regisztrálja mobiltelefonszámát a Gmail segítségével, hogy ha valaha elfelejti a jelszavát, a Google SMS-t küld neki, amely mentési ellenőrző kódot tartalmaz, hogy hozzáférhessen fiókjához.

egy rosszfiú – hívjuk Malcolmnak – szívesen tör be Alice fiókjába, de nem ismeri a jelszavát. Azonban tudja Alice e-mail címét és telefonszámát.

tehát meglátogatja a Gmail bejelentkezési oldalát, és belép Alice e-mail címébe. De Malcolm természetesen nem tudja helyesen megadni Alice jelszavát (mert nem tudja).,

tehát ehelyett rákattint a ” segítségre van szüksége?”link, amelyet általában olyan törvényes felhasználók használnak, akik elfelejtették jelszavaikat.

ahelyett, hogy az egyik másik lehetőséget választaná, Malcolm kiválasztja a “Ellenőrző kód beszerzése a telefonomon:” lehetőséget, hogy egy hat számjegyű biztonsági kódot tartalmazó SMS-t küldjön Alice mobiltelefonjára.

Ez az, ahol a dolgok alattomos.

mert ezen a ponton, Malcolm küld Alice egy szöveget úgy tesz, mintha a Google, és valami ilyesmit mond:

“a Google szokatlan tevékenységet észlelt a fiókjában., Kérjük, válaszoljon a mobileszközére küldött kóddal az illetéktelen tevékenység leállítása érdekében.”

Malcolm ezután a kód segítségével beállíthat egy ideiglenes jelszót, és átveheti az irányítást Alice e-mail fiókja felett.,

Ha Malcolm volt lelkes, hogy nem feltűnő, de továbbra is, hogy minden e-mailt, hogy Alice-t kap a jövőben, akkor lehet, hogy ő újrakonfigurálja az e-mail automatikusan előre jövőben üzenetet, hogy egy fiókot, az irányítása alatt, majd küldjön egy SMS-t neki, amely az újonnan jelszó visszaállítása:

“Köszönöm, hogy ellenőrzi a Google-fiókjába., Az ideiglenes jelszó “

még akkor is, ha Alice egy későbbi időpontban megváltoztatja jelszavát, Malcolm továbbra is megkapja privát e-mail levelezését, kivéve, ha gondosan megvizsgálja fiókjának beállításait.

röviden-ez egy csúnya darab social engineering, amely könnyű elképzelni dolgozik sok ember ellen.

Tehát mi a megoldás?

Nos, a legegyszerűbb tanács az, hogy gyanús legyen az SMS-üzenetekre, amelyek arra kérik Önt, hogy írjon vissza egy ellenőrző kódot – különösen akkor, ha először nem kért ellenőrző kódot.,

kíváncsi vagyok azonban, hogy hány ember szembesül egy olyan üzenettel, amelyről úgy vélik, hogy a Google vagy a Yahoo, azonnal cselekedne rajta, kevés gondolkodással a következményekről. Végül, az egyik legnagyobb gond sok ember lehet, hogy ebben a korban, hogy le kell vágni az e-mail fiók.

további részletekért nézze meg a Symantec Slawomir Grzonkowski blogbejegyzését.

és tanácsot, hogyan lehet jobban védi a web e-mail fiókot, győződjön meg róla, hogy hallgatni ezt az epizódot a “Smashing Security” podcast:

találta ezt a cikket érdekes?, Kövesse Graham Cluley-t a Twitteren, hogy többet olvasson az általunk közzétett exkluzív tartalomról.