Pas på den kloge "nye enhed, der er logget ind på din stripe" phishing-svindel

Som helhed har cyberkriminelle ikke en tendens til at diskriminere i deres valg af mål. Mellem dem, der er specialiserede i afpresning af virksomheder eller foretrækker at brutalisere små virksomheder, regeringsinstitutioner eller udføre DDOS-angreb, og dem, der forsøger at skabe privatpersoner ud af deres penge med social engineering, har hackere generelt stort set alle baser dækket, når det kommer til mål. Der er dog ingen, der benægter, at nogle mål synes at være mere foretrukne end andre - og betalingsprocessorer ser ud til at være et af dem. Tilfælde - phishingforsøg, der er målrettet mod potentielle Stripe-brugere, er blevet så almindelige, at Stripe selv er blevet tvunget til at medtage en guide til, hvordan IKKE skal phishing på sin egen hjemmeside.

Og for at være retfærdig, er der faktisk en meget god grund til, at virksomheden gør dette - der har været mindst tre massive phishing-kampagner med temmelig høj raffinement, der er målrettet mod potentielle stripe-brugere i det sidste år eller deromkring. Alle af dem involverede nogle ret legitime e-mail-beskeder, der opfordrede brugeren til at bekræfte deres loginoplysninger, for at der ikke skulle ske noget uønsket med deres konto. Disse e-mails leverede tilsløret links til temmelig legitime udseende destinationssider designet til at få fat i brugerens legitimationsoplysninger og deponere dem i cyberkriminelle 'uvorne hænder.

Hackerne viste et imponerende niveau af raffinement på dette tidspunkt, især i denne seneste kampagne, der ramte e-mails i begyndelsen af marts 2020. Ja, du kan let se forskellen mellem destinationssiden og den legitime Stripe-login-side, når du sammenligner dem side om side , men den falske er mere end god nok til at narre selv mistænkelige brugere. Det er godt formateret, bruger de korrekte skrifttyper og indeholder hyperlinks og ansvarsfraskrivelser. Kun farver og proportioner på nogle af knapperne er lidt slukket, men det kan let forklares med subtile designændringer, og det er den type ting, virksomheder gør hele tiden.

Yderligere lag af social engineering kan tilføjes for at narre den målrettede bruger - for eksempel omdirigerede en phishing-side brugeren til det faktiske Stripe-websted, efter at brugeren havde indtastet deres legitimationsoplysninger for ikke at rejse mistanke om, at noget er galt.

For at gøre en lang historie kort - hackerens raffinement har allerede nået et niveau, der er højt nok til at frata selv mistænkelige brugere. Så hvad kan en bruger forventes at gøre for at undgå at få deres vigtige økonomiske oplysninger stjålet? Hvad er den bedste praksis, de kunne følge for at undgå at blive offer for en phishing-fidus, såsom den, der er målrettet mod Stripe-brugere?

Kontroller webadressen

Der er mange ting, som svindlere kan gøre for at låne deres falske e-mails en luft af legitimitet - brug god grammatik og de rigtige logoer, formater e-mails på en legitim måde, endda anvende personlige oplysninger om det mål, der er erhvervet et andet sted, obfuscate links osv. Der er dog en ting, der er en død gave, at e-mailen er svigagtig, at de ikke kan gøre noget ved - og det er kilden til e-mailen. Alle anstændige e-mail-klienter giver brugeren en kilde til kommunikationen - og hvis denne kilde er mistænksom, er e-mailen næsten helt sikkert et phishingforsøg eller en anden type angreb. Som Stripe selv udtrykte det på deres officielle side, "peger det på en side på stripe.com?" Hvis ikke - så ignorere det. Bedre endnu - slet det, så du ikke ved et uheld klikker på det på et senere tidspunkt.

Klik ikke på links

Når du bliver advaret om, at du skal gøre noget via en e-mail, skal du ikke klikke på det link, der findes i det. I stedet for skal du tage dig tid til faktisk at gå til den platform, der hævder at have sendt beskeden til dig og tjek tingene derude selv. Gå til dit bogmærke, eller skriv den rigtige adresse, og log på din konto på den måde. Medmindre du anmodede om e-mail lige nu (med det formål at ændre et glemt kodeord, f.eks.), Skal du behandle eventuelle links, der er leveret i en e-mail med den største mistanke. Kontroller altid, hvor de hævder at føre, og hvis du får noget af uhensigtsmæssigt - bin e-mailen.