Symantec wydał ostrzeżenie o tym, co wydaje się być skuteczne oszustwo popełniane przeciwko użytkownikom usług poczty internetowej, takich jak Gmail, Outlook i Yahoo.

oszustwo jest wyjaśnione w poniższym krótkim filmie wykonanym przez Symantec.

(ja mówię, że to krótki filmik, a to tylko 2 minuty i 17 sekund., Ale najwyraźniej Symantec uważa, że skupiasz uwagę na złotej rybce, więc dodali funky beat w tle, aby powstrzymać cię od drzemki).

dla tych, którzy nie mogą znieść muzyki w tle, oto wyjaśnienie, jak można ukraść konto e-mail, po prostu znając numer telefonu komórkowego ofiary.

w poniższym przykładzie możemy sobie wyobrazić, że atakujący próbuje włamać się na konto Gmail należące do ofiary o imieniu Alice.,

Alicja rejestruje swój numer telefonu komórkowego w Gmailu, aby w razie zapomnienia hasła, Google wyśle jej wiadomość SMS zawierającą kod weryfikacyjny ratunkowy, aby mogła uzyskać dostęp do swojego konta.

zły facet – nazwijmy go Malcolm – chętnie włamuje się na konto Alice, ale nie zna jej hasła. Jednak zna adres e-mail i numer telefonu Alicji.

więc odwiedza stronę logowania do Gmaila i wpisuje adres e-mail Alicji. Ale Malcolm oczywiście nie może poprawnie wpisać hasła Alicji (bo go nie zna).,

więc zamiast tego kliknie na „potrzebujesz pomocy?”link, zwykle używany przez legalnych użytkowników, którzy zapomnieli hasła.

zamiast wybierać jedną z innych opcji, Malcolm wybiera opcję „Get a verification code on my phone:”, aby wysłać wiadomość SMS zawierającą sześciocyfrowy kod bezpieczeństwa na telefon Alice.

w tym miejscu robi się podstępnie.

ponieważ w tym momencie Malcolm wysyła Alicji SMS podszywający się pod Google i mówi coś w stylu:

„Google wykryło nietypową aktywność na twoim koncie., Proszę odpowiedzieć kodem wysłanym na urządzenie mobilne, aby zatrzymać nieautoryzowaną aktywność.”

Alicja, wierząc, że wiadomość jest uzasadniona, odpowiada kodem weryfikacyjnym, który właśnie został wysłany przez Google.

Malcolm może następnie użyć kodu, aby ustawić tymczasowe hasło i uzyskać kontrolę nad kontem e-mail Alicji.,

Jeśli Malcolm chciał nie wzbudzać podejrzeń i nadal oglądać każdy e-mail, który Alice otrzyma w najbliższej przyszłości, może to być, że zmieni jej e-mail, aby automatycznie przesyłać przyszłe wiadomości na konto pod jego kontrolą, a następnie wysłać do niej SMS zawierający nowo zresetowane hasło:

„dziękujemy za weryfikację konta Google., Twoje tymczasowe hasło to „

nawet jeśli Alice zmieni hasło w późniejszym terminie, Malcolm będzie nadal otrzymywać prywatną korespondencję e-mail, chyba że uważnie przejrzy ustawienia swojego konta.

w skrócie – to paskudny kawałek inżynierii społecznej, który łatwo sobie wyobrazić, pracując przeciwko wielu ludziom.

Jakie jest rozwiązanie?

najprostszą radą jest podejrzliwość wiadomości SMS, które proszą cię o odpisanie kodu weryfikacyjnego – w szczególności, jeśli w ogóle nie poprosiłeś o kod weryfikacyjny.,

zastanawiam się jednak, ile osób w obliczu wiadomości, którą uważają za pochodzącą od Google lub Yahoo, zareagowałoby na nią natychmiast, nie zastanawiając się nad konsekwencjami. W końcu jednym z największych zmartwień, jakie może mieć wiele osób w dzisiejszych czasach, jest odcięcie od konta e-mail.

Po Więcej szczegółów zajrzyj do wpisu na blogu Sławomira Grzonkowskiego.

a po poradę, jak lepiej chronić swoje internetowe konto e-mail, koniecznie posłuchaj tego odcinka podcastu „Smashing Security”:

zainteresował Cię ten artykuł?, Śledź Graham Cluley na Twitterze, aby przeczytać więcej ekskluzywnych treści, które publikujemy.