Symantec heeft een waarschuwing uitgegeven over wat lijkt op een succesvolle scam gepleegd tegen gebruikers van webmail diensten zoals Gmail, Outlook en Yahoo.

de zwendel wordt uitgelegd in de volgende korte video gemaakt door Symantec.

(Ik zeg dat het een korte video is, en het is een korte video op slechts 2 minuten en 17 seconden., Maar Symantec voelt duidelijk dat je de aandachtsspanne van een goudvis hebt, dus ze hebben een funky beat op de achtergrond toegevoegd om te voorkomen dat je in slaap valt).

voor degenen die de achtergrondmuziek niet kunnen uitstaan, hier is een uitleg van hoe u een e-mailaccount kunt stelen, gewoon door het mobiele telefoonnummer van uw slachtoffer te kennen.

in het onderstaande voorbeeld zullen we ons voorstellen dat een aanvaller probeert te hacken in een Gmail-account van een slachtoffer genaamd Alice.,

Alice registreert haar mobiele telefoonnummer met Gmail, zodat als ze ooit haar wachtwoord vergeet, Google haar een SMS-bericht stuurt met een reddingsverificatiecode, zodat ze toegang heeft tot haar account.

een slechterik – laten we hem Malcolm noemen – wil graag inbreken in Alice ‘ s account, maar kent haar wachtwoord niet. Echter, hij weet Alice ‘ s e-mailadres en telefoonnummer.

dus bezoekt hij de Gmail-loginpagina en voert het e-mailadres van Alice in. Maar Malcolm kan Alice ‘ s wachtwoord natuurlijk niet correct invoeren (omdat hij het niet weet).,

dus in plaats daarvan klikt hij op de ” hulp nodig?”link, normaal gesproken gebruikt door legitieme gebruikers die hun wachtwoorden zijn vergeten.

in plaats van een van de andere opties te kiezen, selecteert Malcolm “haal een verificatiecode op mijn telefoon:” om een SMS-bericht met een zescijferige beveiligingscode naar Alice ‘ s mobiele telefoon te laten sturen.

Dit is waar dingen stiekem worden.

omdat Malcolm Alice op dit moment een tekst stuurt die doet alsof hij Google is, en iets zegt als:

“Google heeft ongewone activiteit op uw account gedetecteerd., Gelieve te reageren met de code verzonden naar uw mobiele apparaat om ongeautoriseerde activiteiten te stoppen.”

Alice, van mening dat het bericht legitiem is, antwoordt met de verificatiecode die ze zojuist door Google heeft verzonden.

Malcolm kan dan de code gebruiken om een tijdelijk wachtwoord in te stellen en controle te krijgen over Alice ‘ s e-mailaccount.,

als Malcolm graag geen argwaan wilde wekken en elke e-mail die Alice in de nabije toekomst ontvangt blijft zien, dan kan het zijn dat hij haar e-mail opnieuw zal configureren om toekomstige berichten automatisch door te sturen naar een account onder zijn controle, en haar dan een SMS zal sturen met het pas gereset wachtwoord:

“Dank u voor het verifiëren van uw Google-account., Uw tijdelijke wachtwoord is “

zelfs als Alice op een later tijdstip haar wachtwoord wijzigt, zal Malcolm haar privé-e-mail blijven ontvangen, tenzij ze zorgvuldig de instellingen van haar account bekijkt.

in het kort-het is een smerig stuk van social engineering waarvan het gemakkelijk voor te stellen werkt tegen veel mensen.

dus, wat is de oplossing?

Het eenvoudigste advies is om verdacht te zijn van SMS-berichten die je vragen om een verificatiecode terug te sturen – in het bijzonder als je in de eerste plaats geen verificatiecode hebt aangevraagd.,

echter, Ik vraag me af hoeveel mensen wanneer ze worden geconfronteerd met een bericht dat zij geloven dat het van Google of Yahoo zou handelen op het onmiddellijk, met weinig denken aan de gevolgen. Immers, een van de grootste zorgen veel mensen zou kunnen hebben in deze dag en leeftijd is te worden afgesneden van hun e-mailaccount.

voor meer details, kijk op de blogpost van Symantec ‘ s Slawomir Grzonkowski.

en voor advies over hoe u uw web-e-mailaccount beter kunt beschermen, moet u deze aflevering van de podcast “Smashing Security” beluisteren:

vond u dit artikel interessant?, Volg Graham Cluley op Twitter om meer te lezen van de exclusieve content die we plaatsen.Graham Cluley is een veteraan van de anti-virus industrie die voor een aantal beveiligingsbedrijven heeft gewerkt sinds het begin van de jaren negentig, toen hij de allereerste versie van Dr Solomons anti-Virus Toolkit voor Windows schreef. Nu een onafhankelijke security analist, hij maakt regelmatig media-optredens en is een internationale publieke spreker over het onderwerp van computerbeveiliging, hackers, en online privacy.Volg hem op Twitter bij @gcluley, of stuur hem een e-mail.