Fai attenzione alla truffa di phishing "Nuovo dispositivo connesso alla tua banda" intelligente

Nel complesso, i criminali informatici non tendono a discriminare nella scelta degli obiettivi. Tra coloro che sono specializzati in estorsioni corporative o preferiscono brutalizzare piccole aziende, istituzioni governative o eseguire attacchi DDOS, e quelli che tentano di sottrarre denaro ai privati con l'ingegneria sociale, gli hacker in genere hanno praticamente tutte le basi coperte quando si tratta di obiettivi. Tuttavia, non si può negare che alcuni obiettivi sembrano essere più preferiti di altri - e i processori di pagamento sembrano essere uno di quelli. Caso in questione: i tentativi di phishing rivolti ai potenziali utenti di Stripe sono diventati così comuni che Stripe stessa è stata costretta a includere una guida su come NON farsi phishing sul proprio sito Web.

E per essere onesti, in realtà c'è un ottimo motivo per cui l'azienda fa questo: ci sono state almeno tre enormi campagne di phishing di livello piuttosto sofisticato rivolte ai potenziali utenti della banda nell'ultimo anno circa. Tutti hanno coinvolto alcuni messaggi e-mail dall'aspetto piuttosto legittimo, spingendo l'utente a confermare i propri dettagli di accesso, affinché non accadesse qualcosa di indesiderato al proprio account. Quelle e-mail fornivano collegamenti offuscati a pagine di destinazione dall'aspetto piuttosto legittimo progettate per afferrare le credenziali dell'utente e depositarle nelle mani sporche dei criminali informatici.

Gli hacker hanno mostrato un livello di sofisticazione impressionante a questo punto, specialmente in quest'ultima campagna che ha colpito le e-mail all'inizio di marzo 2020. Sì, puoi facilmente individuare la differenza tra la pagina di destinazione e la pagina di accesso a Stripe legittima quando le confronti fianco a fianco , ma quello falso è più che sufficiente per ingannare anche gli utenti sospetti. È ben formattato, utilizza i caratteri corretti e presenta collegamenti ipertestuali e dichiarazioni di non responsabilità. Solo i colori e le proporzioni di alcuni pulsanti sono un po 'spenti, ma ciò può essere facilmente spiegato con sottili modifiche al design, ed è il tipo di cosa che le aziende fanno continuamente.

È possibile aggiungere ulteriori livelli di ingegneria sociale per ingannare l'utente target - ad esempio, una pagina di phishing ha reindirizzato l'utente al sito Web effettivo Stripe, dopo che l'utente ha inserito le proprie credenziali, in modo da non sollevare il sospetto che qualcosa non vada.

Per farla breve: la raffinatezza dell'hacker ha già raggiunto un livello abbastanza alto da scoraggiare anche gli utenti sospetti. Quindi cosa ci si può aspettare da un utente per evitare il furto di importanti informazioni finanziarie? Quali sono le migliori pratiche che potrebbero seguire per evitare di cadere vittima di una truffa di phishing, come quella rivolta agli utenti di Stripe?

Controlla l'indirizzo Web

Ci sono molte cose che i truffatori possono fare per dare alle loro false e-mail un'aria di legittimità: usare una buona grammatica e i loghi appropriati, formattare le e-mail in modo legittimo, persino impiegare informazioni personali sull'obiettivo acquisito da qualche altra parte, collegamenti offuscati, ecc. Tuttavia, c'è una cosa che è un omaggio morto che l'e-mail è fraudolenta di cui non possono fare nulla - e questa è la fonte dell'email. Tutti i client di posta elettronica decenti forniscono all'utente una fonte per la comunicazione e se tale fonte è sospetta, l'e-mail è quasi certamente un tentativo di phishing o un altro tipo di attacco. Mentre Stripe stesso lo inserisce nella sua pagina ufficiale, "Indica una pagina su stripe.com?" In caso contrario, ignoralo. Meglio ancora: eliminalo, in modo da non fare clic accidentalmente in un secondo momento.

Non fare clic su collegamenti

Quando ti viene avvertito che devi fare qualcosa tramite un'e-mail, non fare clic sul collegamento fornito al suo interno. Invece, prenditi il tempo per andare effettivamente alla piattaforma che pretende di averti inviato il messaggio e controllare le cose là fuori per te stesso. Vai al tuo segnalibro o digita l'indirizzo corretto e accedi al tuo account in quel modo. A meno che tu non abbia sollecitato l'e-mail in questo momento (allo scopo di modificare una password dimenticata, per esempio), tratta tutti i link forniti in un'e-mail con il massimo sospetto. Controlla sempre dove pretendono di condurre, e se trovi vento di qualcosa di spiacevole, raccogli e-mail.