เรื่องราวของแบล็กเมล์ที่สร้างความรำคาญให้กับผู้หญิงแสดงให้เห็นถึงอันตรายของการหลอกลวงด้วยหอก

คำเตือน: บทความนี้มีความหยาบคายและแสดงถึงอาชญากรรมที่มีเพศสัมพันธ์ในธรรมชาติ.
ฟิชชิ่ง reddit 1

“ เขาเริ่มด้วยการบอกฉันว่าเขาไม่ต้องการละครหรือน้ำตา แน่นอนตอนแรกฉันก็ใจลอย แต่แล้วฉันก็ใจเย็นและถามเขาในสิ่งที่เขาต้องการ เขาบอกฉันว่าเขารู้ว่าฉันเป็นคนแบบไหน เขาได้เห็นรูปถ่ายของฉันทั้งหมดอ่าน iMessages และ WhatsApp ทั้งหมดของฉัน เห็นภาพถ่ายที่ติดอันดับ x เขาเข้าถึงข้อมูลของฉันมากมายที่ฉันไม่ต้องการแบ่งปัน เขาบรรยายให้ฉันฟังว่าฉันเป็นผู้หญิงเลวอย่างไรที่ฉันสูบบุหรี่และมีเพศสัมพันธ์ หากพ่อแม่ของฉันรู้ว่าเขาทำอะไรพวกเขาจะมีความสุข […] ที่จะรู้ว่าลูกสาวของพวกเขาถูกลงโทษเพราะ“ พฤติกรรมที่ผิด”

นี่คือเรื่องราวของผู้ใช้ Reddit Zedevile ที่พูดกับ Comparitech เกี่ยวกับเงื่อนไขของการไม่เปิดเผยตัวตน เธอเป็นเหยื่อของการหลอกลวงด้วยหอก แม้จะมีธรรมชาติที่น่ารำคาญและเป็นส่วนตัวของการเผชิญหน้าของเธอ Zedevile-Zed ในช่วงสั้น ๆ ได้เขียนเกี่ยวกับตอนของเธอกับอาชญากรที่แบล็กเมล์เธอและโพสต์เรื่องราวบน reddit เธอบอกว่าเธอตั้งใจจะเข้าถึงผู้คนให้มากที่สุดเท่าที่จะเป็นไปได้เพื่อที่ว่าสิ่งที่เกิดขึ้นกับเธอจะไม่ซ้ำรอย.

“ เขาบอกว่าฉันเป็นคนโง่เพราะจำนวนความสัมพันธ์ที่ฉันมีใน / คนที่ฉันเดทตั้งแต่ฉันมีโทรศัพท์นั้น ฉันถามเขาว่าเขาต้องการเงินหรือเปล่า เขาบอกว่าเขาสามารถซื้อเงินให้ฉันได้ดังนั้นฉันควรทำเช่นนั้น ดังนั้นฉันจึงถามเขาว่าเขาต้องการอะไรจากฉัน”

“ เขาขอให้ฉันถอดเสื้อผ้าและแตะตัวเองต่อหน้าเขาบน FaceTime ทำให้เขาพึงพอใจ จากนั้นเขาจะให้บัญชีของฉันคืนเท่านั้น”

มันเริ่มต้นขึ้นเมื่อแฮ็กเกอร์วางตัวในฐานะคนรู้จักที่คุ้นเคยติดต่อกับ Zed บน Facebook ขอให้เธอลงคะแนนในการแข่งขันการสร้างแบบจำลองออนไลน์ เธอส่งมอบ Apple และ Google ID ของเธอเพื่อเพิ่มในกลุ่ม จากนั้นสิ่งต่าง ๆ ก็เริ่มเปรี้ยว ข้อผิดพลาดในระบบทำให้เพื่อนของ Zed ไม่สามารถเพิ่มคนอื่นในกลุ่มได้ เธอต้องการที่จะลบ Zed ออกจากกลุ่มเพื่อแก้ไขและเพื่อทำเช่นนั้นจำเป็นต้องใช้รหัสผ่าน.

“ อาชีพของเธอตกอยู่ในความเสี่ยงเพื่อความดีเธอจึงขอร้อง หลังจากกลับไปกลับมาสักหน่อย .. ฉันเชื่อใจเธอ ฉันคิดว่าไม่มีอันตรายใด ๆ และฉันจะเปลี่ยนรหัสผ่านในภายหลัง มันเป็นรหัสผ่านของ Gmail ID ที่ฉันไม่เคยใช้เลยยกเว้นการลงทะเบียนบนเว็บไซต์สุ่มที่ฉันไม่ต้องการรับจดหมายขยะ แต่ต้องการสร้างบัญชีคุณรู้ว่าเรามีหนึ่งในนั้นได้อย่างไร”

วินาทีที่เซดเปิดเผยรหัสผ่านของเธอการโจมตีก็ประสบความสำเร็จ.

ฟิชชิ่งหอก

ฟิชชิ่งใช้จิตวิทยาพฤติกรรมเพื่อหลอกลวงเหยื่อให้เชื่อใจผู้โจมตีเพื่อรับข้อมูลที่ละเอียดอ่อน ทุกคนที่ใช้อินเทอร์เน็ตเป็นประจำอาจต้องเผชิญกับความพยายามฟิชชิง ปรากฏเป็นลิงก์หลบในอีเมลปลอมเว็บไซต์การเงินปลอมแปลงที่ขอรายละเอียดการเข้าสู่ระบบและโทรศัพท์ที่น่าสงสัยจากธนาคารและโรงพยาบาลไปยังผู้สูงอายุ ความพยายามฟิชชิ่งจำนวนมากกำหนดเป้าหมายไปยังผู้ชมจำนวนมากซึ่งมักจะเป็นคนหลายพันคนและหวังว่าจะมีคนจำนวนไม่มาก.

ฟิชชิ่งหอกนั้นแพร่หลายน้อยกว่า แต่อันตรายกว่ามาก ฟิชชิ่งหอกกำหนดเป้าหมายไปที่บุคคลหรือกลุ่มเล็ก ๆ ผู้โจมตีสามารถรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเป้าหมายของพวกเขาเพื่อสร้างบุคคลที่น่าเชื่อถือมากขึ้น 95% ของการโจมตีที่ประสบความสำเร็จทั้งหมดในเครือข่ายองค์กรเป็นผลมาจากการหลอกลวงแบบหอก 91% ของผู้ตอบแบบสอบถามในการสำรวจ Cloudmark กล่าวว่าพวกเขาประสบกับการโจมตีแบบฟิชชิงหอก.

โดยทั่วไปแล้วนักหอกฟิชเชอร์จะกำหนดเป้าหมายเป็นผู้บริหารระดับสูงและผู้ดูแลระบบไอทีเพื่อปกป้องฐานข้อมูลที่สำคัญ อาชญากรไซเบอร์หลอกลวงบัญชีอีเมลของ บริษัท เพื่อเลียนแบบผู้บริหารและหลอกพนักงานในการบัญชีหรือ HR ให้เป็นสายเงินหรือส่งข้อมูลที่เป็นความลับ แต่เรื่องราวของ Zed แสดงให้เห็นว่ามันจะเกิดขึ้นกับใครได้อย่างไร.

Comparitech ได้ตรวจสอบภาพหน้าจอหลายบทของการสนทนาของ Zed กับแฮ็กเกอร์รวมถึงเธรดอีเมลที่ส่งต่อหลายรายการของการสนทนาของเธอกับฝ่ายสนับสนุนลูกค้าที่ Microsoft, Instagram และ Facebook เพื่อยืนยันเรื่องราวของเธอ นอกจากนี้เรายังเรียกผู้สนับสนุนลูกค้า Microsoft หนึ่งรายที่บริการ Global Escalation Services ของ บริษัท ตามหมายเลขส่วนตัวของเขาซึ่งจัดหาโดย Zed เพื่อตรวจสอบตัวตนของเขา.

รหัสผ่านอีเมลที่ Zed มอบให้กับผู้แอบอ้างไม่ใช่แค่บัญชีอีเมลขยะ นอกจากนี้ยังเป็นอีเมลสำรองสำหรับบัญชีอีเมลหลักของเธอใน Hotmail ไม่นานหลังจากการแลกเปลี่ยนเธอได้รับอีเมลเกี่ยวกับการลงชื่อเข้าใช้จากปากีสถาน ภายในไม่กี่นาทีผู้โจมตีลงชื่อเข้าใช้หลายบัญชี.

“ ทุกบัญชีที่ฉันมีบนอินเทอร์เน็ตหากมีความสำคัญเชื่อมโยงกับ Hotmail บัญชีธนาคาร, Facebook, LinkedIn, Squarespace, Amazon คุณชื่อมัน เขาเปลี่ยนรหัสผ่าน Hotmail อีเมลสำรองและโทรศัพท์ Hotmail ของฉันยังเป็น Apple ID ของฉันด้วย”

เมื่อผู้โจมตีได้รับการควบคุมบัญชี Hotmail ของ Zed เขาก็มีทุกอย่าง.

เขาเปลี่ยนหมายเลขโทรศัพท์การกู้คืนอีเมลวันเกิดและคำถามเพื่อความปลอดภัยสำหรับ Apple ID ของเธอ Zed ไม่ได้เปิดใช้งานการยืนยันสองขั้นตอนซึ่งต้องใช้รูปแบบการตรวจสอบที่สองโดยทั่วไปผ่านข้อความเมื่อลงชื่อเข้าใช้จากอุปกรณ์ใหม่ตั้งค่าในบัญชีของเธอ.

“ ฉันไม่สามารถยืนยันตัวตนของฉันได้เพราะคำตอบของฉันไม่ถูกต้องผู้หญิงบนโทรศัพท์ไม่สามารถให้ฉันเข้าไปได้”

ผู้โจมตีเข้าควบคุมบัญชี Facebook ของ Zed เมื่อใช้แฟนเป็นพร็อกซีเซดก็ตั้งสายบน Facebook Messenger กับเขา นั่นคือเมื่อแบล็กเมล์เริ่ม ผู้โจมตีไม่สนใจเงิน.

เขาบอกเธอว่าถ้าเธอไม่ยอมตามคำขอเขาจะโพสต์ภาพถ่ายที่ประนีประนอมจาก iCloud ของเธอบน Facebook เป็นรูปโปรไฟล์ของเธอ เขาบอกว่าเขาไม่สนใจว่าเธอจะรายงานเรื่องการบังคับใช้กฎหมายหรือไม่.

เซดปฏิเสธ.

“ […] ฉันเริ่มรู้สึกไม่สบายใจในระหว่างการโทรนี้และบอกเขาว่าเขาไม่มีสิทธิ์ที่จะตำรวจอย่างมีศีลธรรมและฉันก็สามารถมีความสัมพันธ์ได้มากเท่าที่ฉันต้องการและนอนกับใครก็ตามที่ฉันต้องการและมันไม่ใช่ธุระของเขา นี่ทำให้เขาโกรธ เขากล่าวว่า“ ตรวจสอบ [แสดงภาพ] ภายในสองนาที ’”

ผู้โจมตีตามผ่านการคุกคามของเขา เขาโพสต์ภาพถ่าย แฟนของ Zed ได้รวบรวมทีมของเพื่อน ๆ เพื่อตรวจสอบบัญชีของเธอและตั้งค่าสถานะรูปภาพบน Facebook ทันทีที่ปรากฏ.

ฟิชชิ่ง reddit 2

“ ฉันน้ำตา ภายในไม่กี่นาทีเพื่อนสุ่มที่ฉันแทบจะไม่สามารถโทรหาโทรศัพท์ของฉันและถามฉันว่าฉันรู้ว่าเกิดอะไรขึ้นบน Facebook ของฉัน เธอได้ยินฉันร้องไห้และฉันบอกว่าฉันไม่สามารถพูดได้ เพื่อนของฉันกำลังรายงานการรายงานและการรายงาน ฉันเห็นการเปลี่ยนแปลงโปรไฟล์ของฉัน มันระยำแล้ว”

โปรไฟล์ของเธอถูกปิดการใช้งานในเวลาน้อยกว่า 10 นาที แต่ก็เพียงพอที่จะทำความเสียหาย.

“ ฉันคิดว่าอย่างน้อย 15 คนต้องได้เห็นมัน อย่างน้อย 5-7 เอื้อมมือออกมาหาฉันทันทีโดยวิธีใดวิธีหนึ่ง "

การฟื้นตัว

Zed ใช้เวลาหลายเดือนในชีวิตหน้าเธอด้วยกัน.

ผู้โจมตีใช้บัญชี Facebook ของเธอเพื่อส่งข้อความถึงเพื่อนหญิงของ Zed 20 ถึง 25 บน Facebook เขาประสบความสำเร็จในการหลอกลวงหนึ่งในพวกเขาที่ยังสูญเสียทุกอย่าง “ จริง ๆ แล้วเขาเรียกเธอทางโทรศัพท์ แต่แฟนของเธอพูดกับเขาและพวกเขาก็มีการแข่งขันที่ตะโกนในตอนท้ายซึ่งดูเหมือนว่าเขาจะยอมแพ้” Zed กล่าว.

ฟิชชิ่ง reddit 3

ตำรวจบอก Zed ว่าพวกเขาทำได้น้อยมาก อาชญากรควรจะอยู่ในปากีสถานและคดีของเธอ“ ไม่สำคัญพอสำหรับการสอบสวนคดีอาชญากรรมทางไซเบอร์”

Zed ตั้งข้อสังเกตว่า Apple, Facebook, Instagram และ Google ต่างก็มีฝ่ายบริการลูกค้าที่เหมาะสมและตอบสนองเพื่อช่วยให้เธอกู้คืนบัญชีได้ Microsoft - ซึ่งเป็นเจ้าของ Hotmail - และ Snapchat ได้รับการสนับสนุน "แย่มาก" และเธอไม่สามารถกู้คืนบัญชีเหล่านั้นได้.

เรื่องราวของ Zed ไม่เพียง แต่ไฮไลท์ที่ฟิชชิงหอกสามารถกำหนดเป้าหมายทุกคน แต่มันอาจเป็นเรื่องธรรมดามากกว่าที่คนส่วนใหญ่ตระหนัก Zed กล้าหาญไม่เพียงเพราะเธอไม่ได้ยอมแพ้ แต่เป็นเพราะเธอเลือกที่จะแบ่งปันเรื่องราวของเธอใน reddit และกับ Comparitech เป็นเรื่องราวที่เตือนให้คนอื่น ๆ เธอเป็นข้อยกเว้นสำหรับบรรทัดฐานแม้ว่า มีความเป็นไปได้สูงมากที่การโจมตีส่วนบุคคลเหล่านี้มักไม่ได้รับการรายงานทั้งการบังคับใช้กฎหมายและสื่อ.

วิธีป้องกันตัวเอง

Zed ปิดท้ายโพสต์ reddit ของเธอด้วยคำแนะนำง่ายๆ:“ ตอนนี้ทุกอย่างดีขึ้นแล้ว แต่จำไว้ว่าเด็ก ๆ : อย่าให้ข้อมูลส่วนตัวของคุณแม้แต่เพื่อนสนิทหรือคนที่คุณรัก”

รหัสผ่าน

รหัสผ่านโดยเฉพาะอย่างยิ่งจำเป็นต้องได้รับการปกป้องอย่างใกล้ชิด หากคุณยืนยันในการแบ่งปันบัญชีกับใครบางคนเช่นบัญชี Netflix ตระกูลให้ป้อนรหัสผ่านด้วยตัวเองในนามของพวกเขา อย่าจดลงในคอมพิวเตอร์สมาร์ทโฟนหรือแม้แต่โน้ตบุ๊ก อย่าบอกรหัสผ่านของคุณทางโทรศัพท์หรือข้อความ สื่อเหล่านี้มักจะไม่ถูกเข้ารหัสและคุณไม่เคยรู้เลยว่าใครเป็นผู้รับ.

รหัสผ่านยังต้องแข็งแกร่งและหลากหลาย การสร้างรหัสผ่านที่รัดกุมหมายถึงการใช้ตัวอักษรตัวเลขและสัญลักษณ์แบบผสมที่มีความยาวอย่างน้อย 12 ตัวอักษร คุณสามารถอ่านเพิ่มเติมเกี่ยวกับวิธีสร้างรหัสผ่านที่แข็งแกร่งได้ที่นี่.

อย่าใช้รหัสผ่านเดียวกันสำหรับหลายบัญชี หากคุณมีปัญหาในการจำรหัสผ่านให้ใช้เครื่องมือจัดการรหัสผ่าน ผู้จัดการรหัสผ่านจะเข้ารหัสและเก็บรหัสผ่านทั้งหมดของคุณในแอพหรือส่วนขยายเบราว์เซอร์ดังนั้นคุณจะต้องจดจำรหัสผ่านหลักเดียวเพื่อเข้าถึงบัญชีทั้งหมดของคุณ.

“ ฉันได้มองหาตัวจัดการรหัสผ่านอย่าง Keepass หรือ LastPass เนื่องจากพวกเขาได้รับการแนะนำจาก Redditors อื่น ๆ ในเธรด แต่ฉันยังไม่ได้ติดตั้งใด ๆ ” Zed กล่าว “ ยังต้องการที่จะทำวิจัยก่อนที่จะไปที่”

สุดท้ายเปลี่ยนรหัสผ่านของคุณตามความเหมาะสม แนวทางด้านความปลอดภัยที่เก่ากว่าแนะนำให้เปลี่ยนรหัสผ่านทุก 30 ถึง 180 วันตามระยะเวลาที่ใช้ในการกำหนดรหัสผ่านเพื่อคาดเดาตัวละครที่เป็นไปได้รวมกัน แต่คำแนะนำที่ดีที่สุดคือการเปลี่ยนรหัสผ่านเมื่อใดก็ตามที่ข้อมูลรั่วไหล ซึ่งคุณมีบัญชี อีกครั้งผู้จัดการรหัสผ่านสามารถเข้ามาใช้ประโยชน์ได้ที่นี่ บางคนไม่เพียง แต่ช่วยให้คุณเก็บรหัสผ่าน แต่ยังสามารถสร้างรหัสผ่านที่ไม่ซ้ำกันแบบสุ่มในนามของคุณ.

2FA และ 2SV

เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย (2FA) และ / หรือการยืนยันสองขั้นตอนในบัญชีของคุณเมื่อเป็นไปได้ มาตรการรักษาความปลอดภัยเหล่านี้ต้องการใครก็ตามที่ลงชื่อเข้าใช้บัญชีใดบัญชีหนึ่งของคุณจากอุปกรณ์ใหม่หรืออุปกรณ์ที่ไม่คุ้นเคยเพื่อยืนยันตัวตนของพวกเขาผ่านทางเลือกอื่น.

2FA รวมถึงเทคโนโลยีเช่นสมาร์ทการ์ด Yubikeys และไบโอเมตริกซ์สแกนเพื่อยืนยันตัวตนของคุณ.

ตัวอย่าง 2SV ทั่วไปเกิดขึ้นเมื่อหลังจากป้อนชื่อผู้ใช้และรหัสผ่านคุณต้องป้อนหมายเลข PIN หรือรหัสที่ส่งไปยังอุปกรณ์ของคุณผ่าน SMS Google Authenticator และ Authy เป็นแอปที่น่าเชื่อถือที่ใช้สำหรับ 2SV และเป็นตัวเลือกที่ดีถ้าคุณไม่มีหมายเลขโทรศัพท์หรือเปลี่ยนหมายเลขบ่อยๆ.

การยืนยันอีเมลเป็นอีกรูปแบบหนึ่งของ 2SV แต่เป็นตัวเลือกที่อ่อนแอที่สุด การยืนยันอีเมลจะไม่ช่วย Zed เมื่อผู้โจมตีเข้าควบคุมบัญชีอีเมลของเธอ.

“ ฉันใช้ [2FA / 2SV] ในทุกบัญชีที่ฉันมีให้” Zed กล่าว.

ลิงค์และมัลแวร์

ผู้โจมตีของ Zed ไม่ได้ติดมัลแวร์กับอุปกรณ์ของเธอเท่าที่เราทราบ แต่หลอกผู้ใช้ไปยังไซต์เลียนแบบที่พวกเขาป้อนข้อมูลส่วนตัวหรือถูกหลอกให้ดาวน์โหลดและติดตั้งมัลแวร์เป็นกลยุทธ์ทั่วไป โดยเฉพาะอย่างยิ่งสำหรับผู้บริหารและบุคลากรด้านไอทีนี่เป็นเป้าหมายของอาชญากร.

มัลแวร์สามารถสร้างความเสียหายให้กับระบบคอมพิวเตอร์ขโมยข้อมูลและแม้แต่เข้ารหัสไดรฟ์ทั้งหมดและเก็บไว้เพื่อเรียกค่าไถ่ ที่สุดเรียกว่า "ransomware" เป็นที่นิยมและมีประสิทธิภาพโดยเฉพาะอย่างยิ่งเมื่อปลาย องค์กรสามารถสูญเสียการเข้าถึงข้อมูลสำคัญและถูกบังคับให้จ่าย bitcoin จำนวนมหาศาลให้กับแฮ็กเกอร์เพื่อแลกกับรหัสผ่านที่สามารถถอดรหัสอุปกรณ์ของตนได้.

สิ่งสำคัญคือต้องระวังการเชื่อมโยงเสมอ อย่าคลิกลิงก์ในอีเมลข้อความหรือหน้าเว็บที่คุณไม่รู้จัก การปลอมแปลงที่อยู่ที่อีเมลถูกส่งจากหรือตอบกลับเป็นเรื่องธรรมดา อ่านเพิ่มเติมเกี่ยวกับวิธีตรวจจับอีเมลฟิชชิงได้ที่นี่.

บนเบราว์เซอร์เดสก์ท็อปคุณสามารถโฮเวอร์เหนือไฮเปอร์ลิงก์เพื่อแสดงตำแหน่งที่จะนำไปสู่ที่มุมล่างซ้ายของหน้าต่างเบราว์เซอร์ ระวังโดเมนย่อยที่ใช้ในการทำให้ URL ดูถูกต้องตามกฎหมาย ตัวอย่างเช่นเว็บไซต์ของ Paypal คือ“ www.paypal.com” เว็บไซต์หลอกลวงสามารถใส่ "paypal" เป็นโดเมนย่อยและโดเมนระดับบนสุดที่เป็นทางการดังนั้นจึงใช้ URL“ paypal.official-paypal.com”.

ใช้โปรแกรมป้องกันมัลแวร์ด้วยการสแกนตามเวลาจริงและอัพเดตให้ทันสมัยอยู่เสมอ.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

− 1 = 1

Adblock
detector