Pass på den smarte phishing-svindelen "Ny enhet pålogget din stripe"

Som helhet pleier ikke nettkriminelle å diskriminere i valg av mål. Mellom de som spesialiserer seg på utpressing av foretak eller foretrekker å brutalisere små selskaper, offentlige institusjoner eller utføre DDOS-angrep, og de som forsøker å formidle privatpersoner ut av pengene sine med sosial ingeniørarbeid, har hackere generelt sett stort sett alle baser dekket når det gjelder mål. Det er imidlertid ingen som benekter at noen mål ser ut til å være mer foretrukket enn andre - og betalingsprosessorer ser ut til å være et av disse. Tilfelle - phishingforsøk mot potensielle Stripe-brukere har blitt så vanlige at Stripe selv har blitt tvunget til å ta med en guide for hvordan IKKE skal bli phished på sin egen hjemmeside.

Og for å være rettferdig, er det faktisk en veldig god grunn for selskapet som gjør dette - det har vært minst tre massive phishing-kampanjer med ganske høy raffinement rettet mot potensielle stripebrukere det siste året eller så. Alle av dem involverte noen ganske legitime e-postmeldinger, og oppfordret brukeren til å bekrefte innloggingsdetaljene sine, for at ikke noe uønsket skulle skje med kontoen deres. Disse e-postene ga obfuscated lenker til ganske legitime utseende destinasjonssider designet for å ta tak i brukerens legitimasjon og deponere dem i cybercriminals skitne hender.

Hackerne viste et imponerende nivå av raffinement på dette tidspunktet, spesielt i denne siste kampanjen som traff e-post i begynnelsen av mars 2020. Ja, du kan enkelt se forskjellen mellom destinasjonssiden og den legitime Stripe-påloggingssiden når du sammenligner dem side om side , men den falske er mer enn god nok til å lure selv mistenkelige brukere. Den er godt formatert, bruker riktige skrifter og inneholder hyperkoblinger og ansvarsfraskrivelse. Bare fargene og proporsjonene til noen av knappene er litt av, men det kan lett forklares med subtile designendringer, og det er den typen ting selskaper gjør hele tiden.

Ytterligere lag med sosial ingeniørfag kan legges til for å lure den målrettede brukeren - for eksempel omdirigerte en phishing-side brukeren til selve Stripe-nettstedet, etter at brukeren hadde skrevet inn legitimasjon, for ikke å gi mistanke om at noe er galt.

For å gjøre en lang historie kort - hackerens sofistikering har allerede nådd et nivå høyt nok til å avsette selv mistenkelige brukere. Så hva kan en bruker forvente å gjøre for å unngå å få sin viktige økonomiske informasjon stjålet? Hva er den beste fremgangsmåten de kan følge for å unngå å bli offer for en phishing-svindel, for eksempel den som retter seg mot Stripe-brukere?

Sjekk nettadressen

Det er mange ting som svindlere kan gjøre for å låne sine falske e-postmeldinger en luft av legitimitet - bruk god grammatikk og de riktige logoene, formatere e-postene på en legitim måte, til og med bruke personlig informasjon om målet skaffet fra et annet sted, obfuscate lenker, osv. Imidlertid er det en ting som er en død gave at e-posten er uredelig som de ikke kan gjøre noe med - og det er kilden til e-posten. Alle anstendige e-postklienter gir brukeren en kilde for kommunikasjonen - og hvis kilden er mistenkelig, er e-posten nesten helt sikkert et phishing-forsøk eller en annen type angrep. Som Stripe selv sa det på sin offisielle side, "Peker det til en side på stripe.com?" Hvis ikke - så ignorere det. Bedre ennå - slett den, slik at du ikke ved et uhell klikker på den på et senere tidspunkt.

Ikke klikk på koblinger

Når du blir varslet om at du trenger å gjøre noe med en e-post, må du ikke klikke på koblingen som er gitt i den. Ta i stedet tid til å faktisk gå til plattformen som hevder å ha sendt meldingen til deg og sjekk ting der ute selv. Gå til bokmerket ditt, eller skriv inn riktig adresse og logg inn på kontoen din på den måten. Med mindre du anmodet e-posten akkurat nå (for å endre et glemt passord, for eksempel), må du behandle eventuelle lenker i en e-post med største mistanke. Sjekk alltid hvor de påstås å lede, og hvis du får vind i noe ubehagelig - sett i e-posten.