מתקפת דיוג חדשה מאיימת על כל משתמשי אינסטגרם

התקפות פישינג הן דרך נפוצה לקבל אישורים של מישהו מבלי שהוא יודע על כך. אם אינך יודע, התקפות דיוג כוללות תוקף המשתמש בדף דומה של אתר אינטרנט כדי להערים על הקורבן להזין את האישורים שלו במחשבה שהוא מקליד אותו באתר האינטרנט האמיתי.

עם זאת, המתקפה החדשה מעט מסובכת ומשתמשת ב-2FA כדי לקבל גישה לחשבון של הקורבן. התקיפה התגלתה לראשונה על ידי חוקרי האבטחה ב Sophos (באמצעות פורבס). החוקרים הזהירו כי האקרים משתמשים בדפי 2FA כדי לגרום למשתמשים להאמין שהייתה התחברות לא מורשית והם נדרשים להתחבר כדי לאשר את זהותם. ברור שהאימייל מזויף, אבל ההיבט המפחיד הוא עד כמה העמוד נראה דומה לעמוד הכניסה של אינסטגרם בפועל. הצוות ב-Sophos אמר, "אנחנו לא אוהבים להודות בזה אבל הנוכלים חשבו על זה". מה שהופך את זה לשכנע עוד יותר הוא ה-SSL הנוסף. ההאקרים רכשו תעודת SSL עבור האתר שמוסיף HTTPS ומנעול ירוק כדי להבטיח למשתמשים שהם נמצאים באתר האינסטגרם האמיתי.

דף ההתחזות עצמו הוא פקסימיליה אמינה לחלוטין של הדבר האמיתי, ומגיעה עם תעודת HTTPS תקפה.

בהחלט אסור לסמוך על אתר ללא מנעול - אבל אי אפשר לסמוך על אתר באופן אוטומטי רק בגלל שיש לו מנעול והוא פורסם בהודעות דוא"ל שנכתבו נכון.

סופוס

צוות Sophos גם הוציא עצה נהדרת למשתמשים. אם אי פעם תקבלו אימיילים הדורשים גישה למדיה חברתית, אל תעקבו על הקישור בהודעות האימייל. במקום זאת, היכנס לאתר כרגיל ולאחר מכן בצע את השלבים בדוא"ל כדי לתקן את הבעיה. זה יוודא שלא תכניס בטעות את האישורים שלך לאתר דיוג.

בנוסף, תמיד בדוק את הדומיין. אל תסתכל רק על המנעול הירוק מכיוון שקל להשיג אחד. חפש את האתר האמיתי ואם הוא נראה חשוד אז כנראה שכן. רוב החברות כמו פייסבוק ואינסטגרם משתמשות בדומיין ברמה העליונה (.com). זה אמור לעזור לך לזהות אתר דיוג מכיוון שהוא ישתמש בדומיין אחר. לדוגמה, כאן ההאקר משתמש ב-".cf" שהוא דומיין המוקצה לרישומים ברפובליקה המרכז אפריקאית. זה זול וזמין בקלות, ומכאן מקרה שימוש מושלם עבור האקרים ודגל אדום גדול עבור המשתמשים.

אז איך להגן על עצמך מפני התקפות אלו? התשובה הפשוטה היא להשתמש בשכל הישר. אם אתה מקבל אימייל בלתי צפוי מאפליקציה או אפילו מאינסטגרם או פייסבוק, וודא שאתה הולך לאתר הנכון. אם אפליקציה באמת רוצה את תשומת לבך, היא תנווט אותך אוטומטית למקום הרצוי בין אם תלחץ על הקישור במייל ובין אם לא. אם יש לך ספק, ערוך מחקר קטן. Who.is הוא מקום מצוין לבדוק מי הבעלים של הדומיין ומעל הכל, זכרו שאף אחד לא עומד בתור לתת לכם מיליארד דולר או אלף מטבעות במשחק האהוב עליכם. השתמש תמיד בשכל הישר שלך. אם זה טוב מכדי להיות אמיתי, אז כנראה שכן.