Etter Massive Tumblr-lekkasjen, er det på tide å snakke om phishing
Åh kjære. Ikke dette igjen. 68 millioner Tumblr-kontoer har blitt sprutet på den mørke banen, og blir solgt for den svake prisen på 0,452 bitcoins. På skrivningstidspunktet er det omtrent 240 dollar.
Ved første øyekast kan du trekke en parallell mellom denne datalekkingen og LinkedIn-lekkasjen for to uker siden. Hva du trenger å vite om Massive LinkedIn-kontoer, lekkasje Hva du trenger å vite om de store LinkedIn-kontoene Lekkasje En hacker selger 117 millioner hacket LinkedIn legitimasjon på Dark web for rundt $ 2 200 i Bitcoin. Kevin Shabazi, administrerende direktør og grunnlegger av LogMeOnce, hjelper oss å forstå hva som er i fare. Les mer . For det første er begge datasettene veldig gamle; LinkedIn-bruddene går fra 2012, og Tumblr-en er fra 2013. Begge datasettene er enorm, og de var begge oppført på den mørke nettsiden av samme person - Rolig til sinns.
Men det er der likhetene slutter, fordi mens LinkedIn ikke sikret passordene sine riktig, ble Tumblr beskyttet med (relativt) sterk SHA-1-kryptering. Dette betyr at det er liten sjanse for at en angriper bryter inn i sine Tumblr-kontoer, eller gjenvinning påloggingskombinasjonene på andre tjenester, som Facebook, PayPal eller Twitter.
Det er en ulempe skjønt. En angriper som kjøper dumpen, har nå en liste over 68 millioner aktive, bekreftede e-postkontoer. Dette betyr at enhver bruker som er fanget opp i den, har større risiko for phishing og e-postbaserte angrep.
Så, hvordan ser phishing ut i 2016, og hvilke skritt kan du ta for å beskytte deg selv?
Phishing er ikke Passé
Hvis du ikke hadde møtt rapporten fra Vices hovedkort, kunne du bli tilgitt for å tro at phishing er en støvete relikvie av 1990-tallet og tidlig 2000-år, som harket tilbake til internettets nye barndom, og ingen visste virkelig hvordan det fungerer. Sikkert, du hevder at ingen faller for phishing-e-post mer.
Statistikken ville bry seg om å være uenig. For det første blir phishing-e-postmeldinger fremdeles sendt i usannsynlig store tall. Ifølge Kaspersky-eide SecureList utgjorde phishing og spam-e-post 54,2% av alle e-postmeldinger sendt i tredje kvartal 2015. Dette var en liten nedgang fra forrige kvartal, men er fortsatt en bemerkelsesverdig mengde meldinger.
Q3 2015, prosentandelen av #spam i e-posttrafikk utgjorde 54,2% #KLreport #infosec https://t.co/nKGjX6CH3N pic.twitter.com/Sxs0wM7my7
- Kaspersky Lab (@kaspersky) 12. november 2015
Den største kilden til phishing-e-post er USA, etterfulgt av Vietnam, Kina og Russland. Interessant er landet med flest brukere som er rammet av phishing, Brasil, som etterfølges av Japan, Kina og Vietnam. Verken USA - eller noe annet utviklet, vestlig land, for den saks skyld - er i topp ti.
Men mens antall skadelige og spam-e-postmeldinger har gått noe, har antall phishing-e-postmeldinger økt. Ifølge Symantec økte andelen phishing-e-postmeldinger i januar 2015 fra en i 1 517 e-postmeldinger, til en på 1 004.
Anti-Spam blir smartere, men det er også Phishing-e-post
På 1990-tallet og 2000-tallet var anti-spam-programvare uslåpt og knapt egnet til formål. Mange programmer lette dessuten lite etter søkeord - som "viagra" - og søppel e-post som inneholdt dem. Spammere og phishere kom seg rundt dem ved å forsiktig stave ordene som var på søkeordlisten. Så, "viagra" ble "v1agra", som da ble "v1agr4", og deretter "v1a8r4". Du får ideen.
Noen ble enda mer kreative, og begynte å gjemme ordene blant bilder og spesialfargede tabeller.
Sluttresultatet var at brukerne var bokstavelig oversvømmet med spam- og phishing-angrep. Men det endret seg mot halen slutten av 2000-tallet, da anti-spam endelig ble smart. Raskere datamaskiner betydde at online e-posttjenester - som Gmail og Outlook - kunne gjøre kompliserte beregninger i sanntid, som bestemte seg for om en e-post skulle sendes til brukerens innboks eller til nettsøppelmappen.
I stedet for bare å søke etter søkeord, begynte spamfiltre å se på ting som opprinnelsen til e-postmeldingen, og at andre brukere opptrer i e-postmeldinger av samme type.
Spammere har ikke gitt opp. Faktisk, ifølge Securelist, de blir enda smartere, og det blir enda vanskeligere å få øye på en phishing-e-post. Slik sporer du en Phishing-e-post. Slik sporer du en Phishing-e-post. Fange en phishing-e-post er tøff! Svindlere utgjør som PayPal eller Amazon, prøver å stjele ditt passord og kredittkortinformasjon, er deres bedrag er nesten perfekt. Vi viser deg hvordan du kan se svindelen. Les mer .
En av tingene Securelist notert i rapporten er at spammere ofte tar en sesongbasert tilnærming til spam og phishing. I løpet av sommeren bemerket det at antall phishing-e-postmeldinger med reisetema økte.
“I juli forsøkte svindlere å lure brukere ved å sende falske varsler på vegne av hoteller. Meldingen takket mottakerne for å bo på hotellet og ba dem om å se vedlagt regning. Det vedlagte arkivet inneholdt faktisk Trojan-Downloader.Win32.Upatre.dhwi, som i sin tur lastet ned og kjørte Trojan-Banker.Win32.Dyre (sett på som 98. ***. **. 39 / cv17.rar) ved å klikke på linkene skrevet i nedlastingens kropp.”
En taktikk som brukes til å omgå anti-spam-programmer, er å sette alt i en PDF-fil, som brukeren da vil åpne. Dette er effektivt fordi det er bemerkelsesverdig vanskelig å programmere 'lese' en PDF-fil.
phishing-PDF
hXXp: //dgreenwell.chytrak.cz/Label.html pic.twitter.com/eJl2RmImcJ- JaromirHorejsi (@JaromirHorejsi) 18. januar 2016
Når anti-spam-filtre ble tatt opp til dette trikset, begynte spammerne å bruke mediabox objekter i vedlagte PDF-filer, elementer i PDF-dokumenter som åpnes med et museklikk. De kan brukes til å omdirigere brukeren til phishing-nettsteder.
En Phishing-trampolin - integrering av omdirigeringer i PDF-dokumenter http://t.co/E7lPSiB4q5 pic.twitter.com/BU97TpD1TK
- Mohtashim Nomani (@ mohtashim712) 18. september 2015
Dette spillet med katt og mus viser ingen tegn på slutt, med en klar vinner. Faktisk kan krigen bli intensivert.
Legitime tjenester Tilpass deres e-post, men det gjør også angripere
For å beskytte sine brukere mot phishing-e-post, har Internett-tjenester - spesielt banktjenester - tatt for å tilpasse e-postene sine med et lite "token" som er unikt for brukeren. En av bankene jeg bruker inkluderer de tre siste sifrene i kontonummeret mitt på all elektronisk korrespondanse. En annen setter de tre første tegnene i postnummeret mitt på toppen av alle e-postmeldinger.
Dette er noe du alltid bør se etter.
Interessant nok har angriperne også begynt å tilpasse e-postene sine for å være mer effektive. En ting jeg har lagt merke til er at noen phishing-e-postmeldinger har begynt å ta den første delen av en e-postadresse (alt før '@'), og sette den i hilsen. Min jobb-epost er '[email protected]', så disse e-postene vil starte med 'Kjære mhughes'.
Tekstmeldinger - Neste grense for phishing
I økende grad er de elektroniske tjenestene vi bruker koblet til våre mobile enheter. Noen tjenester krever telefonnummeret ditt for å konfigurere tofaktorautentisering. Hva er tofaktorautentisering, og hvorfor du bør bruke det. Hva er tofaktorautentisering, og hvorfor du bør bruke den Tofaktorautentisering (2FA) er en sikkerhetsmetode som krever to forskjellige måter å bevise din identitet på. Det brukes vanligvis i hverdagen. For eksempel å betale med et kredittkort krever ikke bare kortet, ... Les mer. Andre ber om det for å dele informasjon med deg.
Nettsteder beskytter ikke mobilnumre i den måten de gjør passord. Årsaken til det er at når du har hash-and-salt et passord Hvert sikkert nettsted gjør dette med passordet ditt Hver sikker nettside gjør dette med passordet Har du noen gang lurt på hvordan nettsteder holder passordet ditt trygt fra databrudd? Les mer, det blir umulig å lese. For at nettsteder skal kunne sende meldinger eller ringe et nummer, må de holde det ubeskyttet.
Dette faktum, kombinert med ekstremt billige (helt legitime) tekstmeldingstjenester som Twilio, Nexmo og Plivo, (som folk er mindre mistenkelige for), betyr at angripere i stigende grad lider av SMS som en angrepsvektor.
Denne typen angrep har et navn: smishing, mens stemmefisking kalles vishing Nye phishing-teknikker for å være klar over: Vishing og Smishing Nye phishing-teknikker for å være klar over: Vishing og Smishing Vishing og smishing er farlige nye phishing-varianter. Hva skal du se etter? Hvordan vil du vite et vishing eller smishing forsøk når det kommer? Og er du sannsynlig å være et mål? Les mer .
Få mistanken
Hvis du ikke vet om du er i Tumblr-dumpen, kan du finne ut ved å gå til Troy Hunt's Have I Been Pwned.
Hvis du er, er det en god ide å tilbakestille passordene dine, og å konfigurere tofaktorautentisering på alle kontoene dine. Men enda viktigere, Du bør dreie mistenksomhetsmåleren til elleve. Jeg har ingen tvil om at berørte brukere vil se en økning i spam- og phishing-e-postmeldinger i de kommende ukene. De ser overbevisende ut. For å være trygg, må Tumblr-brukere begynne å behandle innkommende e-post med en sunn dose av skepsis.
Har du blitt tatt opp i lekkasjen? Fikk noen mistenkelige e-poster? Gi meg beskjed i kommentarene nedenfor.
Photo Credits: HTML Table Bitmap (Niels Heidenreich)
Utforsk mer om: Hacking, Phishing, Tumblr.