巧妙な「ストライプにサインインした新しいデバイス」フィッシング詐欺に注意

全体として、サイバー犯罪者は標的の選択を差別する傾向はありません。企業の強要を専門とする人、または小企業、政府機関、またはDDOS攻撃の残忍な攻撃を好む人と、ソーシャルエンジニアリングを利用して個人を金銭から騙そうとする人の間では、ハッカーは通常、ほとんどすべての根拠をカバーしています。ターゲット。ただし、一部のターゲットが他のターゲットよりも優先されているように見えることも否定できません。また、決済処理業者もその1つであるようです。典型的な例–潜在的なStripeユーザーを狙ったフィッシングの試みが非常に一般的になり、Stripe自体が独自のWebサイトでフィッシングされないようにするためのガイドを含めることを余儀なくされました。

そして公平を期すために、実際に会社がこれを実行するのには非常に良い理由があります。昨年かそこらで、潜在的なストライプユーザーを標的とするかなり高度な高度なフィッシングキャンペーンが少なくとも3回ありました。それらのすべてに、かなり合法的に見える電子メールメッセージが含まれ、ユーザーにログインの詳細を確認するよう促しました。アカウントに望ましくないことが起こらないようにするためです。これらの電子メールは、ユーザーの資格情報を取得し、サイバー犯罪者の悪質な手にそれらを置くように設計された、かなり正当に見えるランディングページへの難読化されたリンクを提供しました。

ハッカーはこの時点で、特に2020年3月上旬にメールをヒットしたこの最新のキャンペーンで、非常に高度な洗練度を示しました。はい、ランディングページと正当なStripeログインページを並べて比較すると、違いを簡単に見つけることができます、しかし、偽物は疑わしいユーザーでさえも欺くのに十分以上のものです。それはよくフォーマットされており、正しいフォントを使用し、ハイパーリンクと免責事項を備えています。一部のボタンの色と比率だけが少しずれていますが、微妙なデザイン変更で簡単に説明できます。これは、企業が常に行うタイプのことです。

ソーシャルエンジニアリングの追加レイヤーを追加して、ターゲットユーザーを欺くことができます。たとえば、ユーザーが資格情報を入力した後、1つのフィッシングページがユーザーを実際のStripe Webサイトにリダイレクトし、何かが間違っているという疑いを引き起こさないようにします。

簡単に言えば、ハッカーの巧妙さは、疑わしいユーザーでさえ延期するのに十分なレベルに達しています。では、ユーザーが重要な財務情報を盗まれるのを避けるために何ができると期待できるでしょうか？ Stripe Usersを対象とするものなど、フィッシング詐欺の被害に遭わないようにするためのベストプラクティスは何ですか？

Webアドレスを確認する

詐欺師が偽のメールに正当性を与えるためにできることはたくさんあります。適切な文法と適切なロゴを使用し、正当な方法でメールをフォーマットし、どこかから取得したターゲットに関する個人情報を使用し、リンクを難読化します。 。ただし、メールが詐欺であり、何もできないので、それがメールの送信元であるという致命的なプレゼントが1つあります。すべてのまともなメールクライアントは、ユーザーに通信のソースを提供します。そのソースが疑わしい場合、メールはほぼ間違いなくフィッシング攻撃または別の種類の攻撃です。 Stripe自身の公式ページに「Stripe.comのページを指していますか？」そうでない場合は、無視してください。さらに良いのは、後で誤ってクリックしないように削除することです。

リンクをクリックしないでください

メールで何かする必要があるという警告が表示された場合は、メールに記載されているリンクをクリックしないでください。代わりに、時間をかけて実際にメッセージを送信したと思われるプラットフォームに行き、自分で確認してください。ブックマークに移動するか、適切なアドレスを入力して、その方法でアカウントにログインします。 （忘れたパスワードを変更するなどの目的で）今すぐメールを求めた場合を除き、メールに記載されているリンクはすべて疑わしいものとして扱います。彼らがリードしていると主張する場所を常に確認し、 何か不都合なことがあった場合はメールをビンに入れてください。