Efter Massive Tumblr-läckan är det dags att prata om phishing

Efter Massive Tumblr-läckan är det dags att prata om phishing / säkerhet

kära nån. Inte detta igen. 68 miljoner Tumblr-konton har blivit sprutade på den mörka banan och säljs för det svaga priset på 0,452 bitcoins. I skrivande stund är det ungefär 240 dollar.

Vid första anblicken kan du rita en parallell mellan denna läckage och LinkedIn läckan för två veckor sedan Vad du behöver veta om massiva LinkedIn-konton läcka Vad du behöver veta om de massiva LinkedIn-konton läckage En hacker säljer 117 miljoner hackade LinkedIn-uppgifter på Dark webben för cirka $ 2 200 i Bitcoin. Kevin Shabazi, VD och grundare av LogMeOnce, hjälper oss att förstå vad som är i fara. Läs mer . För det första är båda dataseten riktigt gamla; LinkedIn-överträdelsen går från 2012, och Tumblr-en är från 2013. Båda dataset är enorm, och de var båda listade på Dark web av samma person - Sinnesro.

Men det är där likheterna slutar, för när LinkedIn inte säkrade sina lösenord ordentligt skyddades Tumblrs med (relativt) stark SHA-1-kryptering. Det betyder att det finns liten chans att en angripare bryter in i sina Tumblr-konton eller återvinning inloggningskombinationerna på andra tjänster, som Facebook, PayPal eller Twitter.

Det finns dock en nackdel. En angripare som köper dumpningen nu har en lista på 68 miljoner aktiva, verifierade e-postkonton. Det innebär att varje användare som är upptagen i den har större risk för phishing och e-postbaserade attacker.

Så, hur ser phishing ut i 2016, och vilka steg kan du vidta för att skydda dig själv?

Phishing är inte Passé

Om du inte hade stött på rapporten från Vice moderkort kan du bli förlåtad för att tänka på att phishing är en dammig relik från 1990-talet och början av 2000-talet och harkade tillbaka till Internetets nya barn och ingen vet verkligen hur sakerna fungerar. Säkert argumenterar du, ingen faller för phishing-e-post längre.

Statistiken skulle bry sig om att vara oense. För det första skickas phishing-e-postmeddelanden fortfarande i osannolikt stora siffror. Enligt den Kasperskyägda SecureList svarade phishing- och spam-e-postmeddelanden för 54,2% av alla e-postmeddelanden som skickades under tredje kvartalet 2015. Det var en liten minskning jämfört med föregående kvartal men det är fortfarande en anmärkningsvärd mängd meddelanden.

Q3 2015 svarade andelen #spam i e-posttrafik för 54,2% #KLreport #infosec https://t.co/nKGjX6CH3N pic.twitter.com/Sxs0wM7my7

- Kaspersky Lab (@kaspersky) 12 november 2015

Den största källan till phishing-e-post är USA, följt noga av Vietnam, Kina och Ryssland. Intressant är att landet med de flesta användare som påverkas av phishing är Brasilien, som följs av Japan, Kina och Vietnam. Varken USA - eller något annat utvecklat västland, för den delen - ligger i topp tio.

Men medan andelen skadliga och spam-e-postmeddelanden har sjunkit något, har antalet phishing-e-postmeddelanden stigit. Enligt Symantec ökade andelen phishing-e-postmeddelanden i januari 2015 från en i 1 517 e-postmeddelanden till en på 1 004.

Anti-Spam blir smartera, men det är också Phishing-e-postmeddelanden

Tillbaka på 1990-talet och 2000-talet var anti-spam-mjukvaran osofistikerad och knappast lämplig för ändamål. Många program letade lite efter att söka efter nyckelord - som "viagra" - och skräp alla e-postmeddelanden som innehöll dem. Spammare och phishers kom omkring dem genom att avsiktligt stava de ord som fanns på sökordslistan. Så, "viagra" blev "v1agra", som då blev "v1agr4" och sedan "v1a8r4". Du får idén.

Vissa blev ännu mer kreativa och började gömma orden bland bilder och specialfärgade tabeller.

Slutresultatet var att användarna var bokstavligen översvämmad med spam och phishing-attacker. Men det förändrade sig mot slutet av 2000-talet, när anti-spam äntligen blev smart. Snabbare datorer medförde att online-e-posttjänster - som Gmail och Outlook - kunde göra komplicerade beräkningar i realtid, vilket bestämde huruvida ett e-postmeddelande skulle skickas till användarens inkorg eller till skräppostmappen.

I stället för att bara leta efter nyckelord började spamfilter titta på saker som ursprunget till e-postmeddelandet och andra användares beteende på e-postmeddelanden av liknande karaktär.

Spammarna har inte givit upp sig. Faktum är, enligt Securelist, de blir ännu smartare, och det blir allt svårare att fånga upp ett phishing-e-postmeddelande. Så här markerar du ett phishing-e-post. Så här spottar du ett phishing-e-post. Fånga ett phishing-e-postmeddelande är tufft! Bedrägerier utgör som PayPal eller Amazon, försöker stjäla ditt lösenord och kreditkortsinformation, deras bedrägeri är nästan perfekt. Vi visar dig hur du upptäcker bedrägerierna. Läs mer .

En av de saker som Securelist noterade i sin rapport är att spammare ofta tar en säsongsbetonad strategi för spam och phishing. Under sommaren noterades det att antalet phishing-e-postmeddelanden med ett resetema ökade.

“I juli försökte bedrägerier att lura användare genom att skicka falska anmälningar på hotellens vägnar. Meddelandet tackade mottagarna för att stanna i sitt hotell och bad dem att se bifogad faktura. Det bifogade arkivet innehöll faktiskt Trojan-Downloader.Win32.Upatre.dhwi, som i sin tur hämtade och sprang Trojan-Banker.Win32.Dyre (betraktad som 98. ***. **. 39 / cv17.rar) genom att klicka på länkarna skrivet i nedladdarens kropp.”

En taktik som används för att kringgå anti-spam-program är att sätta allt i en PDF-fil, som användaren då skulle öppna. Detta är effektivt eftersom det är anmärkningsvärt svårt att programmera 'läsa' en PDF-fil.

phishing-PDF
hXXp: //dgreenwell.chytrak.cz/Label.html pic.twitter.com/eJl2RmImcJ

- JaromirHorejsi (@JaromirHorejsi) 18 januari 2016

När anti-spam-filmar varade till det här tricket började spammarna använda mediabox-objekt i bifogade PDF-filer, element i PDF-dokument som öppnas med ett musklick. De kan användas för att omdirigera användaren till phishing-webbplatser.

En phishing-trampolin - inbäddning av omdirigeringar i PDF-dokument http://t.co/E7lPSiB4q5 pic.twitter.com/BU97TpD1TK

- Mohtashim Nomani (@ mohtashim712) 18 september 2015

Det här spelet med katt-och-mus visar inget tecken på slut, med en klar vinnare. Faktum är att kriget kan intensifiera.

Legitima tjänster Anpassa sina e-postmeddelanden, men det gör även attacker

För att skydda sina användare från phishing-e-post har online-tjänster - särskilt banktjänster - tagits för att anpassa sina e-postmeddelanden med ett litet "token" som är unikt för användaren. En av de banker jag använder innehåller de sista tre siffrorna i mitt kontonummer på all elektronisk korrespondens. En annan lägger de tre första tecknen i mitt postnummer överst på alla e-postmeddelanden.

Det här är något du alltid ska leta efter.

Intressant har attackerare också börjat anpassa sina e-postmeddelanden för att vara mer effektiva. En sak som jag har märkt är att vissa phishing-e-postmeddelanden har börjat ta den första delen av en e-postadress (allt före "@") och sätta det i hälsningen. Mitt jobb email är "[email protected]", så dessa e-postmeddelanden kommer att börja med "Kära mhughes".

Textmeddelanden - Nästa gräns för phishing

I allt högre grad kopplas de onlinetjänster vi använder till våra mobila enheter. Vissa tjänster frågar efter ditt telefonnummer för att ställa in tvåfaktorsautentisering. Vad är tvåfaktorautentisering, och varför du borde använda den. Vad är tvåfaktorautentisering och varför du ska använda den Tvåfaktorautentisering (2FA) är en säkerhetsmetod som kräver två olika sätt att bevisa din identitet. Det används ofta i vardagen. Till exempel betalar med ett kreditkort krävs inte bara kortet, ... Läs mer. Andra ber om det för att dela information med dig.

Sidor skyddar inte mobilnummer på samma sätt som de gör lösenord. Anledningen till det är när du har ett lösenord och ett lösenord Varje säker webbplats gör det med ditt lösenord Varje säker hemsida gör det med ditt lösenord Har du någonsin undrat hur webbplatser håller ditt lösenord säkert från dataskydd? Läs mer, det blir omöjligt att läsa. För att webbplatser ska skicka meddelanden eller ringa ett nummer måste de behållas oskyddad.

Detta faktum, i kombination med extremt billiga (helt legitima) textmeddelandestjänster som Twilio, Nexmo och Plivo, (vilket folk är mindre misstänkta) innebär att angripare alltmer lutar på SMS som en attackvektor.

Denna typ av attack har ett namn: smishing, medan röstfiskning heter vishing Nya phishing-tekniker för att vara medveten om: Vishing och Smishing Nya phishing-tekniker för att vara medveten om: Vishing och Smishing Vishing och smishing är farliga nya phishing-varianter. Vad ska du vara ute efter? Hur kommer du att veta ett försök eller smishing försök när det kommer? Och är du sannolikt ett mål? Läs mer .

Få misstanke

Om du inte vet om du befinner dig i Tumblr-dumpan, kan du ta reda på genom att gå till Troy Hunt's Have I Pwned.

Om du är är det en bra idé att återställa lösenordet och att ställa in tvåfaktorsautentisering på alla dina konton. Men ännu viktigare, Du borde vrida din misstankmätare till elva. Jag har ingen tvivel om att drabbade användare kommer att se en ökning av spam och phishing-e-postmeddelanden under de närmaste veckorna. De kommer att se övertygande. För att vara säker måste Tumblr-användare börja behandla inkommande e-postmeddelanden med en hälsosam dos skepsis.

Har du blivit upptagen i läckan? Fick några misstänkta e-postmeddelanden? Låt mig veta i kommentarerna nedan.

Fotokrediter: HTML-tabellbitmap (Niels Heidenreich)

Utforska mer om: Hacking, Phishing, Tumblr.