Ich bin ein Sicherheitsreporter und wurde von einem eklatanten Phishing getäuscht
Ich bin ein Sicherheitsreporter und wurde von einem eklatanten Phishing getäuscht
Vergrößern / Definitiv keine Razer-Maus, aber Sie verstehen schon.
Calvio über Getty Images
In letzter Zeit gab es eine Welle von Phishing-Angriffen, die so chirurgisch präzise und gut ausgeführt wurden, dass sie es geschafft haben, einige der sachkundigsten Personen, die in der Cybersicherheitsbranche arbeiten, zu täuschen. Am Montag, Dienstag und Mittwoch sagten der Zwei-Faktor-Authentifizierungsanbieter Twilio, das Content-Delivery-Netzwerk Cloudflare und der Netzwerkgerätehersteller Cisco, dass Phisher im Besitz von Telefonnummern von Mitarbeitern und Familienmitgliedern von Mitarbeitern ihre Mitarbeiter dazu verleitet hätten, ihre Anmeldeinformationen preiszugeben. Die Phisher verschafften sich Zugang zu den internen Systemen von Twilio und Cisco. Die 2FA-Hardwareschlüssel von Cloudflare haben Phisher daran gehindert, sich Zugang zu seinen Systemen zu verschaffen.
Die Phisher waren hartnäckig, methodisch und hatten eindeutig ihre Hausaufgaben gemacht. Innerhalb einer Minute erhielten mindestens 76 Cloudflare-Mitarbeiter Textnachrichten mit verschiedenen Tricks, um sie dazu zu bringen, sich bei ihrem vermeintlichen Arbeitskonto anzumelden. Die Phishing-Website verwendete eine Domain (cloudflare-okta.com), die 40 Minuten vor dem Nachrichteneingang registriert worden war, und vereitelte ein von Cloudflare verwendetes System, um benachrichtigt zu werden, wenn Domains mit seinem Namen erstellt wurden (wahrscheinlich, weil es Zeit für neue braucht Einträge auszufüllen). Phisher hatten auch Möglichkeiten, Formen von 2FA zu besiegen, die auf Einmalpasswörtern beruhen, die von Authentifizierungs-Apps generiert oder per SMS gesendet werden.
Schaffe ein Gefühl der Dringlichkeit
Wie Cloudflare erhielten Twilio und Cisco Textnachrichten oder Telefonanrufe, die ebenfalls in der Annahme gesendet wurden, dass dringende Umstände vorliegen: eine plötzliche Zeitplanänderung, Ablauf des Passworts, Pass oder Anruf unter dem Deckmantel einer vertrauenswürdigen Organisation. — von der Zielperson schnelles Handeln verlangen.
Mittwoch war ich an der Reihe. Um 15:54 Uhr PT erhielt ich eine E-Mail, die angeblich von Twitter stammte und mir mitteilte, dass mein Twitter-Konto gerade verifiziert worden war. Ich hatte sofort Verdacht, weil ich keine Überprüfung angefordert hatte und auch nicht wirklich wollte. Aber die Kopfzeilen zeigten, dass die E-Mail von twitter.com kam, der Link (den ich in Tor auf einem sicheren Rechner öffnete) zur echten Website Twitter.com führte, und nichts in der E-Mail oder der verlinkten Seite forderte mich nur auf, Informationen bereitzustellen . Außerdem ist mir aufgefallen, dass auf meiner Profilseite plötzlich ein Häkchen erschienen ist.
Zufrieden, dass die E-Mail echt war, notierte ich meine Überraschung um 3:55 Uhr auf Twitter
Was ist das. Twitter hat gerade mein Konto verifiziert, obwohl ich mich immer noch geweigert habe, ihnen meinen Benutzernamen oder andere Informationen zu geben. Ich frage mich warum.
– Dan Goodin (@dangoodin001) 10. August 2022
Sekunden später, um 3:56 Uhr, erhielt ich eine Direktnachricht, die angeblich vom Verifizierungsdienst von Twitter stammte. Darin hieß es, dass ich auf die Nachricht mit meinem Führerschein, Reisepass oder einem anderen von der Regierung ausgestellten Ausweis antworten musste, damit meine Verifizierung dauerhaft wird.
Ich habe sehr starke Gefühle in Bezug auf die Unangemessenheit von Twitter, einem Unternehmen, das mindestens dreimal gehackt wurde und zugegeben hat, die Telefonnummern von Benutzern missbraucht zu haben, diese Art von Daten anzufordern. Ich war sauer. Es war gegen Ende meines Arbeitstages. Ich war immer noch überrascht von Twitters unerwartetem, nicht manipuliertem Geschenk eines Häkchens, um das ich nicht gebeten hatte. Also, ohne die DM sorgfältig zu lesen, habe ich einen Screenshot davon getwittert, mit einem zynischen Kommentar, dass Twitter nicht vertrauenswürdig sei.
Ich habe zu früh gesprochen. Tut mir leid, @twitter, du bist nicht vertrauenswürdig. Gehen Sie voran und entfernen Sie das blaue Häkchen. Sie bekommen meine ID nicht, nur damit Sie wieder gehackt werden oder sie für Marketingzwecke verwenden können. pic.twitter.com/dimLCLagdU
– Dan Goodin (@dangoodin001) 10. August 2022
Die Sache ist die, dass der DM gebrochenes Englisch benutzte; der Spitzname des Benutzers hieß Support, gefolgt von einer Reihe von Zahlen; das Konto wurde gesperrt. Die Direktnachricht ist ein klassisches Beispiel für Phishing mit allen Merkmalen eines Betrugs. Also warum mein...
Vergrößern / Definitiv keine Razer-Maus, aber Sie verstehen schon.
Calvio über Getty Images
In letzter Zeit gab es eine Welle von Phishing-Angriffen, die so chirurgisch präzise und gut ausgeführt wurden, dass sie es geschafft haben, einige der sachkundigsten Personen, die in der Cybersicherheitsbranche arbeiten, zu täuschen. Am Montag, Dienstag und Mittwoch sagten der Zwei-Faktor-Authentifizierungsanbieter Twilio, das Content-Delivery-Netzwerk Cloudflare und der Netzwerkgerätehersteller Cisco, dass Phisher im Besitz von Telefonnummern von Mitarbeitern und Familienmitgliedern von Mitarbeitern ihre Mitarbeiter dazu verleitet hätten, ihre Anmeldeinformationen preiszugeben. Die Phisher verschafften sich Zugang zu den internen Systemen von Twilio und Cisco. Die 2FA-Hardwareschlüssel von Cloudflare haben Phisher daran gehindert, sich Zugang zu seinen Systemen zu verschaffen.
Die Phisher waren hartnäckig, methodisch und hatten eindeutig ihre Hausaufgaben gemacht. Innerhalb einer Minute erhielten mindestens 76 Cloudflare-Mitarbeiter Textnachrichten mit verschiedenen Tricks, um sie dazu zu bringen, sich bei ihrem vermeintlichen Arbeitskonto anzumelden. Die Phishing-Website verwendete eine Domain (cloudflare-okta.com), die 40 Minuten vor dem Nachrichteneingang registriert worden war, und vereitelte ein von Cloudflare verwendetes System, um benachrichtigt zu werden, wenn Domains mit seinem Namen erstellt wurden (wahrscheinlich, weil es Zeit für neue braucht Einträge auszufüllen). Phisher hatten auch Möglichkeiten, Formen von 2FA zu besiegen, die auf Einmalpasswörtern beruhen, die von Authentifizierungs-Apps generiert oder per SMS gesendet werden.
Schaffe ein Gefühl der Dringlichkeit
Wie Cloudflare erhielten Twilio und Cisco Textnachrichten oder Telefonanrufe, die ebenfalls in der Annahme gesendet wurden, dass dringende Umstände vorliegen: eine plötzliche Zeitplanänderung, Ablauf des Passworts, Pass oder Anruf unter dem Deckmantel einer vertrauenswürdigen Organisation. — von der Zielperson schnelles Handeln verlangen.
Mittwoch war ich an der Reihe. Um 15:54 Uhr PT erhielt ich eine E-Mail, die angeblich von Twitter stammte und mir mitteilte, dass mein Twitter-Konto gerade verifiziert worden war. Ich hatte sofort Verdacht, weil ich keine Überprüfung angefordert hatte und auch nicht wirklich wollte. Aber die Kopfzeilen zeigten, dass die E-Mail von twitter.com kam, der Link (den ich in Tor auf einem sicheren Rechner öffnete) zur echten Website Twitter.com führte, und nichts in der E-Mail oder der verlinkten Seite forderte mich nur auf, Informationen bereitzustellen . Außerdem ist mir aufgefallen, dass auf meiner Profilseite plötzlich ein Häkchen erschienen ist.
Zufrieden, dass die E-Mail echt war, notierte ich meine Überraschung um 3:55 Uhr auf Twitter
Was ist das. Twitter hat gerade mein Konto verifiziert, obwohl ich mich immer noch geweigert habe, ihnen meinen Benutzernamen oder andere Informationen zu geben. Ich frage mich warum.
– Dan Goodin (@dangoodin001) 10. August 2022
Sekunden später, um 3:56 Uhr, erhielt ich eine Direktnachricht, die angeblich vom Verifizierungsdienst von Twitter stammte. Darin hieß es, dass ich auf die Nachricht mit meinem Führerschein, Reisepass oder einem anderen von der Regierung ausgestellten Ausweis antworten musste, damit meine Verifizierung dauerhaft wird.
Ich habe sehr starke Gefühle in Bezug auf die Unangemessenheit von Twitter, einem Unternehmen, das mindestens dreimal gehackt wurde und zugegeben hat, die Telefonnummern von Benutzern missbraucht zu haben, diese Art von Daten anzufordern. Ich war sauer. Es war gegen Ende meines Arbeitstages. Ich war immer noch überrascht von Twitters unerwartetem, nicht manipuliertem Geschenk eines Häkchens, um das ich nicht gebeten hatte. Also, ohne die DM sorgfältig zu lesen, habe ich einen Screenshot davon getwittert, mit einem zynischen Kommentar, dass Twitter nicht vertrauenswürdig sei.
Ich habe zu früh gesprochen. Tut mir leid, @twitter, du bist nicht vertrauenswürdig. Gehen Sie voran und entfernen Sie das blaue Häkchen. Sie bekommen meine ID nicht, nur damit Sie wieder gehackt werden oder sie für Marketingzwecke verwenden können. pic.twitter.com/dimLCLagdU
– Dan Goodin (@dangoodin001) 10. August 2022
Die Sache ist die, dass der DM gebrochenes Englisch benutzte; der Spitzname des Benutzers hieß Support, gefolgt von einer Reihe von Zahlen; das Konto wurde gesperrt. Die Direktnachricht ist ein klassisches Beispiel für Phishing mit allen Merkmalen eines Betrugs. Also warum mein...
Vergrößern / Definitiv keine Razer-Maus, aber Sie verstehen schon.
Calvio über Getty Images
