Se upp för den smarta "Nya enheten som är inloggad på din stripe" -fiskfusk

Som helhet tenderar cyberkriminella inte att diskriminera i sitt val av mål. Mellan dem som specialiserar sig på företagspressning eller föredrar att brutalisera små företag, statliga institutioner eller utföra DDOS-attacker, och de som försöker tappa privatpersoner från sina pengar med social teknik, har hackare i allmänhet i stort sett alla baser som täcks när det gäller mål. Det är dock inget som förnekar att vissa mål verkar vara mer föredragna än andra - och betalningsprocessorer verkar vara en av dessa. I förekommande fall - phishing-försök som är inriktade på potentiella Stripe-användare har blivit så vanliga att Stripe själv har tvingats ta med en guide för hur INTE ska bli phished på sin egen webbplats.

Och för att vara rättvis finns det faktiskt en mycket god anledning för företaget som gör detta - det har funnits minst tre massiva phishing-kampanjer med ganska hög sofistikering som riktar sig till potentiella strip-användare under det senaste året eller så. Alla involverade några ganska legitima utseende e-postmeddelanden och uppmanade användaren att bekräfta sina inloggningsuppgifter, så att något oönskat händer med deras konto. Dessa e-postmeddelanden gav obemuskade länkar till ganska legitima utseende målsidor som var utformade för att ta tag i användarens referenser och deponera dem i cyberbrottslingarnas smutsiga händer.

Hackarna visade en imponerande nivå av sofistikering vid denna tidpunkt, särskilt i den senaste kampanjen som slog e-post i början av mars 2020. Ja, du kan enkelt upptäcka skillnaden mellan målsidan och den legitima Stripe-inloggningssidan när du jämför dem sida vid sida , men den falska är mer än bra nog för att lura även misstänkta användare. Det är välformaterat, använder rätt teckensnitt och innehåller hyperlänkar och ansvarsfriskrivningar. Endast färgerna och proportionerna på några av knapparna är lite av, men det kan lätt förklaras med subtila designändringar, och det är den typ av saker som företag gör hela tiden.

Ytterligare lager av social teknik kan läggas till för att lura den riktade användaren - till exempel, en phishing-sida omdirigerade användaren till själva Stripe-webbplatsen, efter att användaren hade lagt in sina referenser, för att inte höja misstanken om att något är fel.

För att göra en lång historia kort - hackerens sofistikerade har redan nått en nivå som är tillräckligt hög för att skjuta upp även misstänkta användare. Så vad kan en användare förväntas göra för att undvika att få sin viktiga finansiella information stulen? Vilka är de bästa metoderna de kan följa för att undvika att bli offer för en phishing-bedrägeri, till exempel den som riktar sig till Stripe-användare?

Kontrollera webbadressen

Det finns många saker som bedrägerier kan göra för att låna sina falska e-postmeddelanden en luft av legitimitet - använd bra grammatik och rätt logotyper, formatera e-postmeddelanden på ett legitimt sätt, till och med utnyttja personlig information om målet som erhållits från någon annanstans, dumma länkar, etc. Det finns emellertid en sak som är en död giveaway att e-postmeddelandet är bedrägligt att de inte kan göra något åt - och det är källan till e-postmeddelandet. Alla anständiga e-postklienter ger användaren en källa för kommunikationen - och om den källan är misstänksam är e-posten nästan säkert ett phishingförsök eller en annan typ av attack. Som Stripe själva uttryckte det på sin officiella sida, "pekar det på en sida på stripe.com?" Om inte - ignorera det. Ännu bättre - ta bort det så att du inte klickar på det vid ett senare tillfälle.

Klicka inte på länkar

När du får en varning om att du behöver göra något via ett e-postmeddelande, klicka inte på länken i den. Istället tar dig tid att faktiskt gå till den plattform som anses ha skickat meddelandet till dig och kolla saker där ute själv. Gå till ditt bokmärke, eller skriv in rätt adress och logga in på ditt konto på det sättet. Såvida du inte begärde e-posten just nu (för att ändra ett glömt lösenord, till exempel), behandla alla länkar i ett e-postmeddelande med största misstankar. Kontrollera alltid var de avser att leda, och om du får vind i något otåligt - skicka e-postmeddelandet.