Após o vazamento do tumblr maciça, é hora de falar sobre phishing
Oh céus. Não desta vez
Conteúdo
À primeira vista, você pode traçar um paralelo entre esse vazamento de dados e o vazamento LinkedIn de duas semanas atrás. Em primeiro lugar, ambos os conjuntos de dados são realmente de idade- as datas de violação do LinkedIn a partir de 2012, e o Tumblr é a partir de 2013. Ambos os conjuntos de dados são enorme, e ambos foram listadas na web escuro pela mesma pessoa - Paz de espírito.O Que Você Precisa Saber Sobre o maciço Contas do LinkedIn LeakO Que Você Precisa Saber Sobre o maciço Contas do LinkedIn LeakUm hacker está a vender 117 milhões de credenciais do LinkedIn hackeado na web escuro por cerca de US $ 2.200 em Bitcoin. Kevin Shabazi, CEO e fundador da LogMeOnce, nos ajuda a entender exatamente o que está em risco.consulte Mais informação
Mas é aí que as semelhanças terminam, porque enquanto LinkedIn não garantir suas senhas corretamente, Tumblr de foram protegidos com criptografia (relativamente) forte SHA-1. Isto significa que há pouca chance de um atacante invadir suas contas Tumblr, ou reciclar as combinações de login em outros serviços, como o Facebook, PayPal, ou Twitter.
Há uma desvantagem embora. Um invasor que compra o despejo agora tem uma lista de 68 milhões, contas de e-mail verificados ativos. Isto significa que qualquer usuário pego nele está em um maior risco de phishing e ataques baseados em e-mail.
Então, o que phishing olhar como em 2016, e quais os passos que você pode tomar para se proteger?
Phishing não é Passé
Se você não tivesse encontrado o relatório da mãe do vice, você poderia ser perdoado por pensar que phishing é uma relíquia empoeirada da década de 1990 e início de 2000, remontando ao romance infância da Internet, e ninguém realmente sabia como as coisas funciona. Certamente, você argumentam, ninguém se apaixona por phishing e-mails mais.
As estatísticas se importaria em discordar. Em primeiro lugar, e-mails de phishing ainda estão sendo enviados em improvavelmente grandes números. De acordo com o SecureList Kaspersky-propriedade, phishing e de spam e-mails foram responsáveis por 54,2% de todos os e-mails enviados no terceiro trimestre de 2015. Esta foi uma ligeira queda em relação ao trimestre anterior, mas ainda é uma notável quantidade de mensagens.
A maior fonte de e-mails de phishing são os Estados Unidos, seguido de perto pelo Vietnã, China e Rússia. Curiosamente, o país com o maior número de usuários afetados pela phishing é o Brasil, que é seguido por Japão, China e Vietnã. Nem os Estados Unidos - nem qualquer outro desenvolvido, país ocidental, para que o assunto - está no top-ten.
Mas, enquanto a taxa de e-mails maliciosos e de spam global caiu ligeiramente, o número de e-mails de phishing aumentou. De acordo com a Symantec, a proporção de e-mails de phishing aumentou em janeiro de 2015 de um em 1.517 e-mails, para um em 1.004.
Anti-Spam está ficando mais esperto, mas assim são-mails de phishing
De volta aos anos 1990 e 2000, software anti-spam foi sofisticado e pouco apto para o efeito. Muitos programas pouco fez além de procurar palavras-chave - como ‘viagra` - e lixo qualquer e-mail que os continha. Spammers e phishers tem em torno deles por erro ortográfico intencionalmente as palavras que estavam na lista de palavras-chave. Assim, ‘viagra` se tornou‘V1agra`, que depois se tornou ‘v1agr4` , e depois‘v1a8r4` . Você começa a idéia.
Alguns ficaram ainda mais criativo, e começou a esconder as palavras entre imagens e tabelas especialmente coloridas.
O resultado final foi que os usuários estavam sendo literalmente inundado com spam e phishing ataques. Mas isso mudou no final da cauda da década de 2000, quando anti-spam finalmente got elegante. computadores mais rápidos significa que os serviços de e-mail on-line - como Gmail e Outlook - poderia fazer cálculos complicados em tempo real, que determinaram se um e-mail seria enviado para caixa de entrada do usuário, ou para a pasta de spam.
Ao invés de apenas à procura de palavras-chave, filtros de spam começaram a olhar para coisas como a origem da mensagem de e-mail, eo comportamento de outros usuários de e-mails de natureza semelhante.
Os spammers não desistiram. Na verdade, de acordo com SecureList, eles estão ficando ainda mais inteligente, e está se tornando ainda mais difícil de detectar um e-mail phishing.Como manchar um email de PhishingComo manchar um email de PhishingPegar um e-mail phishing é difícil! Scammers posar como PayPal ou Amazon, tentando roubar suas informações de senha e cartão de crédito, são a sua decepção é quase perfeito. Nós mostramos-lhe como identificar a fraude.consulte Mais informação
Uma das coisas SecureList observou em seu relatório é que os spammers muitas vezes tomam uma abordagem sazonal para spam e phishing. Durante o verão, ele observou que o número de phishing e-mails com um tema do curso disparou.
“Em julho, os fraudadores tentou enganar os usuários através do envio de notificações falsas em nome de hotéis. A mensagem agradeceu aos destinatários para ficar em seu hotel e pediu para ver o projeto de lei em anexo. O arquivo anexado na verdade contida Trojan-Downloader.Win32.Upatre.dhwi, que por sua vez baixado e correu Trojan- Banker.Win32.Dyre (visto como 98. ***. **. 39 / cv17.rar) clicando nos links escrita no corpo do downloader “.
Uma tática usada para ignorar os programas anti-spam é colocar tudo em um arquivo PDF, o que o usuário teria então aberto. Isto é eficaz porque é extremamente difícil programaticamente ‘ler` um arquivo PDF.
Quando os filtros anti-spam sensatas para este truque, os spammers começaram a usar objetos MediaBox em arquivos PDF em anexo, elementos em documentos PDF que são abertos por um clique do mouse. Eles podem ser usados para redirecionar o usuário para sites de phishing.
Este jogo de gato-e-rato mostra nenhum sinal de final, com um vencedor claro. Na verdade, a guerra pode ser intensificando.
Serviços legítimos Personalize seus e-mails, mas assim como atacantes
A fim de proteger seus usuários contra phishing e-mails, serviços online - serviços bancários, especialmente online - têm tomado para personalizar seus e-mails com um pequeno ‘sinal` que é único para o usuário. Um dos bancos que eu uso inclui os três últimos dígitos do número da minha conta em toda a correspondência eletrônica. Outro coloca os três primeiros caracteres do meu código postal no topo de todos os e-mails.
Isso é algo que você deve sempre procurar.
Curiosamente, os atacantes também começaram a personalizar seus e-mails para ser mais eficaz. Uma coisa que eu notei é que alguns e-mails de phishing começaram a tomar a primeira parte de um endereço de e-mail (tudo antes do ‘@"), e colocá-lo na saudação. Meu e-mail de trabalho é ‘[email protected]`, então esses e-mails vai começar com‘Queridos mhughes`.
Mensagens de texto - The Next Frontier de Phishing
Cada vez mais, os serviços on-line que usamos estão sendo ligados com nossos dispositivos móveis. Alguns serviços pedir seu número de telefone, a fim para configurar a autenticação de dois fatores. Outros pedem para ele, a fim de compartilhar informações com você.O que é Two-Factor Authentication, e por que você deve usá-loO que é Two-Factor Authentication, e por que você deve usá-loautenticação de dois fatores (2FA) é um método de segurança que requer duas maneiras diferentes de provar a sua identidade. É comumente utilizada na vida cotidiana. Por exemplo pagando com um cartão de crédito não só exige o cartão, ...consulte Mais informação
Sites não protegem números móveis da maneira que eles fazem senhas. A razão para isso é quando você mistura-e-sal de uma palavra-passe, torna-se impossível de ler. Para que sites para enviar mensagens ou ligar para um número, eles têm que mantê-lo desprotegido.
Este facto, juntamente com os serviços de mensagens de texto (completamente legítimas) extremamente baratos como Twilio, Nexmo e Plivo, (que as pessoas estão menos desconfiados de), significa que os atacantes estão cada vez mais apoiado em SMS como um vetor de ataque.
Este tipo de ataque tem um nome: smishing, enquanto phishing de voz é chamado vishing.Novas técnicas de phishing para estar ciente de: Vishing e SmishingNovas técnicas de phishing para estar ciente de: Vishing e SmishingVishing e smishing são perigosas novas variantes de phishing. O que você deve estar olhando para fora? Como você vai saber uma tentativa de vishing ou smishing quando ela chega? E você é provável que seja um alvo?consulte Mais informação
obter Suspeito
Se você não sabe se você está no despejo Tumblr, você pode descobrir por rubrica de ter de Troy Hunt I foi Pwned.
Se você é, é uma boa idéia para redefinir suas senhas, e para configurar a autenticação de dois fatores em todas as suas contas. Mas o mais importante, você deve pôr em marcha sua suspeita metros a onze. Não tenho dúvidas que afetou os usuários vão ver um aumento no spam e e-mails de phishing nas próximas semanas. Eles vão olhar convincente. Para se manter seguro, usuários Tumblr precisa começar a tratar qualquer e-mails de entrada com uma dose saudável de ceticismo.
Você foi pego no vazamento? Obtido qualquer e-mails suspeitos? Deixe-me saber nos comentários abaixo.
Créditos das fotos: HTML Tabela Bitmap (Niels Heidenreich)
Como saber se um endereço de e-mail é legítimo?
Como denunciar e-mails indesejados
Como parar de correio em massa
Como colocar traduz google no skype ou um e-mail
Como se livrar de spam no meu computador
Como o phishing acontecer?
Por que o meu e-mail manter hackeadas?
Como reportar phishing to yahoo
A diferença entre phishing e spoofing
Como denunciar pirataria no yahoo! Enviar
Características de roubo de identidade cibernético
Golpes de phishing de cartão de crédito
Norton vs proteção on-line médio
5 Dicas e truques para evitar golpes de phishing facebook
O que exatamente é phishing e quais técnicas são golpistas usando?
Como evitar outlook lixo eletrônico e desordem email
Como identificar um e-mail phishing
É a sua conta do gmail, entre 42 milhões de credenciais vazaram?
Como identificar uma fraude de sms e o que fazer
Como dizer adeus ao hotmail spam para o bom
Novas técnicas de phishing para estar ciente de: vishing e smishing