Ženska uznemirujuća priča o ucjenjivanju pokazuje opasnosti od podmetanja koplja

Upozorenje: Ovaj članak sadrži zlostavljanje i prikazuje zločin seksualne prirode.

“Započinje mi govoreći da ne želi nikakvu dramu ili suze. Naravno da sam se isprva zgrozila, ali onda sam se smirila i pitala ga što želi. Rekao mi je da zna kakav sam osoba. Vidio je sve moje fotografije, pročitao sve moje iMessages i WhatsApp chatove. Vidjene fotografije s ocjenom x. Ima pristup mnogim mojim informacijama koje ne bih želio dijeliti. Predava me o tome kako sam loša djevojka, da pušim korov i imam seks. Da su moji roditelji znali što je učinio, bili bi sretni […] kad bi znali da njihova kći bude kažnjena zbog svojih „zločina“. “

Ovo je priča o Reddit korisniku Zedevile, koji je razgovarao s Comparitechom pod uvjetom anonimnosti. Žrtva je podmetanja kopljem. Unatoč uznemirujućoj i privatnoj prirodi njezina susreta, Zedevile-Zed je ukratko napisao svoju epizodu sa zločincem koji ju je ucjenjivao i priču objavio na reddit-u. Kaže da joj je namjera privući što veći broj ljudi tako da se ono što joj se dogodilo ne ponovi.

“Rekao je da sam drolja zbog broja veza u kojima sam / osoba s kojima sam u vezi od kada imam taj telefon. Pitao sam ga želi li novac, bilo što takvo. Rekao je da me može kupiti novcem, pa bih to trebao odbaciti. Stoga sam ga pitao što želi od mene. “

“Zamolio me da skinem odjeću i dodirnem se pred njim na FaceTimeu. Zadovoljite ga. Tek tada bi mi vratio račune. “

Sve je počelo kada je haker koji se predstavlja kao poznati poznanik kontaktirao Zeda na Facebooku, tražeći od nje da glasa na natjecanju za modeliranje putem interneta. Predjela je svoje ID-ove tvrtke Apple i Google kako bi ih se dodala grupi. Tada su stvari postale kisele. Greška u sustavu nekako je spriječila Zedovog prijatelja da doda bilo koga drugog u grupu. Trebala je ukloniti Zeda iz grupe da ga popravi, a za to je bila potrebna zaporka.

„Njezina je karijera bila u pitanju zbog dobrote, molila je. Nakon što sam se vratio malo naprijed i natrag .. zajebao sam se. Vjerovao sam joj. Mislila sam da nema nikakve štete i odmah ću promijeniti lozinku. Bila je to lozinka za Gmail ID koji nikad ne koristim, osim za prijavu na nasumičnim web lokacijama na kojima ne želim primati svoju neželjenu poštu, ali moram stvoriti račun, znate kako svi imamo jedan od njih. “

Onog trenutka kada je Zed otkrio svoju lozinku, napad je bio uspješan.

Spear phishing

Phishing koristi bihejvioralnu psihologiju kako bi zamirao žrtve u povjerenje napadaču kako bi dobili osjetljive informacije. Svatko tko redovito koristi Internet vjerojatno se susreo s pokušajima krađe identiteta. Pojavljuju se kao iznurene veze u lažnim porukama e-pošte, krivotvorene financijske web stranice koje traže detalje o prijavi i sumnjivi telefonski pozivi banaka i bolnica starijim građanima. Većina pokušaja krađe identiteta cilja veliku masovnu publiku – često tisuće ljudi – i nadaju se da će ih mala šačica navaliti.

Lažno predstavljanje je manje rasprostranjeno, ali daleko opasnije. Spears phishing cilja na pojedinca ili malu skupinu ljudi. Napadač može prikupiti osobne podatke o svojoj meta kako bi izgradio vjerodostojniju osobu. 95 posto svih uspješnih napada na mreže poduzeća rezultat je krađe podmetanja, prema istraživanju Instituta SANS. 91 posto anketiranih u Cloudmark anketi reklo je da je doživjelo napade lažnim krađama.

Kopači (phishing) uglavnom ciljaju rukovoditelje visoke razine i IT administratora zadužene za zaštitu osjetljivih baza podataka. Cyber ​​kriminali lažiraju račune e-pošte tvrtke kako bi lažno predstavljali rukovoditelje i obmanjivali zaposlenike u računovodstvu ili HR-u u oživljavanju novca ili slanju povjerljivih podataka. Ali Zedova priča pokazuje kako se to svakome može dogoditi.

Comparitech pregledao je više snimaka zaslona razgovora Zede s hakerom, kao i nekoliko prosljeđenih tema e-pošte njezinih razgovora s korisničkom podrškom na Microsoftu, Instagramu i Facebooku kako bi provjerio njezinu priču. Također smo pozvali jednog Microsoftovog zagovornika kupca u tvrtki Global Escalation Services na njegov osobni broj koji nam je dostavio Zed radi provjere njegovog identiteta.

Lozinka e-pošte koju je Zed predao izlagaču nije samo račun neželjene pošte. Bila je to i e-pošta za oporavak za njezin primarni račun e-pošte na Hotmailu. Ubrzo nakon razmjene dobila je e-poštu o prijavi iz Pakistana. Za nekoliko minuta napadač ju je potpisao s nekoliko računa.

“Svaki račun koji imam na internetu, ako je važan, povezan je s Hotmailom. Bankovni računi, Facebook, LinkedIn, Squarespace, Amazon, vi to ime. Promijenio je lozinku Hotmail, e-poštu za oporavak i telefon. Moj Hotmail također je bio moj Apple ID. “

Nakon što je napadač stekao kontrolu nad Zedovim Hotmail računom, imao je sve.

Promijenio je njezin telefonski broj za oporavak, e-poštu, rođendan i sigurnosna pitanja za Apple ID. Zed nije omogućio provjeru u dva koraka, što zahtijeva sekundarni oblik provjere, obično putem tekstualne poruke prilikom prijave s novog uređaja, postavljen na njene račune.

“Nisam bila u mogućnosti provjeriti svoj identitet, jer su moji odgovori bili netočni, gospođa iz telefona me nije mogla pustiti da uđem.”

Napadač je preuzeo kontrolu nad Zedovim Facebook računom. Koristeći svog dečka kao punomoćnika, Zed je uspostavio poziv na Facebook Messengeru s njim. Tada je počeo ucjenjivanje. Napadača novac nije zanimao.

Rekao joj je da će, ako se ona ne pokloni njegovom zahtjevu, objaviti kompromitirajuće fotografije s njenog iClouda na Facebooku kao svoju sliku profila. Rekao je da ga ne brine je li ga prijavila policiji.

Zed je odbio.

“[…] Počeo sam se uzrujavati tijekom ovog poziva i rekao sam mu da me nema pravo moralno podnijeti policiji i da mogu biti u onoliko odnosa koliko želim i spavati s kim god želim i to se ne tiče njega. To ga je razljutilo. Rekao je: “provjeri svoju [prikaznu sliku] za dvije minute”. “

Napadač je slijedio prijetnju. Objavio je fotografiju. Zedov dečko nagomilao je tim prijatelja koji su pratili njen račun i postavili fotografiju na Facebooku čim se pojavila.

“Bila sam u suzama. U roku od nekoliko minuta nasumični prijatelj s kojim jedva razgovaram nazvao je telefon i pitao me znam li što je na mom Facebooku. Čula me kako plačem i rekla sam da ne mogu razgovarati. Moji prijatelji su izvještavali, izvještavali, izvještavali. Vidio sam da se moj profil promijenio. Bilo je jebeno. “

Njezin se profil deaktivirao za manje od 10 minuta, ali bilo je dovoljno da napravi neku štetu.

„Mislim da ga je moralo vidjeti najmanje 15 ljudi. Barem 5-7 mi se odmah, nekom ili drugom metodom, obratilo. “

Oporavak

Sljedeći mjesec Zed je proveo zajedno internetski život.

Napadač je upotrijebio svoj Facebook račun kako bi na Facebooku objavio 20 do 25 Zedovih ženskih prijatelja. Uspješno je prevario jednog od njih, koji je također izgubio sve. “Zapravo ju je nazvao telefonom, ali njezin je dečko razgovarao s njim i imali su neku vrstu vikanja, na kraju od čega se činilo da je odustao”, kaže Zed.

Policija je Zedu rekla da mogu učiniti malo toga. Zločinac je navodno bio u Pakistanu i njezin slučaj “nije bio dovoljno važan za istragu cyber kriminala.”

Zed napominje da su Apple, Facebook, Instagram i Google imali razumne i brze usluge kupcima kako bi joj pomogao u oporavku računa. Microsoft – koji posjeduje Hotmail – i Snapchat imali su “strašnu” podršku, a ona nije mogla povratiti te račune.

Zedova priča ne samo da naglašava da lažno predstavljanje može ciljati bilo koga, već da je vjerojatno češći nego što većina ljudi to shvaća. Zed je bio hrabar ne samo zato što se nije predavao, već zato što je odabrao da svoju priču podijeli na redditu i sa Comparitechom kao opreznu priču drugima. Ipak je ona iznimka od norme. Vrlo je vjerojatno da se takve vrste osobnih napada često prijavljuju, kako na policiju, tako i na medije.

Kako se zaštititi

Zed zaključuje svoj reddit post jednostavnim savjetom: “Stvari su sada bolje, ali zapamtite djecu: NE NIKADA ne ostavljajte svoje osobne podatke, čak ni bliskom prijatelju ili voljenoj osobi.”

Lozinke

Pogotovo se moraju čuvati lozinke. Ako inzistirate na dijeljenju računa s nekim, poput obiteljskog računa Netflix, unesite zaporku u njihovo ime. Ne zapisujte ih u računalo, pametni telefon ili čak bilježnicu. Nemojte nekome reći svoju zaporku putem telefona ili u SMS poruci. Ti mediji često nisu šifrirani i nikada zapravo ne znate tko je na kraju primanja.

Lozinke također moraju biti jake i raznolike. Stvaranje jake lozinke znači korištenje slučajne kombinacije slova, brojeva i simbola duge najmanje 12 znakova. Više o tome kako napraviti jake lozinke možete pročitati ovdje.

Nikada ne koristite istu lozinku za više računa. Ako imate problema s pamćenjem zaporki, koristite upravitelj lozinki. Menadžeri lozinki kriptiraju i pohranjuju sve svoje lozinke u aplikaciji ili proširenju preglednika tako da morate pristupiti samo jednoj glavnoj lozinci za pristup svim svojim računima.

“Gledam u upravitelja lozinki poput Keepassa ili LastPass-a otkad su ih preporučili drugi Redditors na nit, ali još nisam instalirao nijedan”, kaže Zed. “Ipak želim napraviti neka istraživanja prije nego što se upustim u to.”

Na kraju, promijenite svoje lozinke, kad je to potrebno. Starije sigurnosne smjernice sugerirale su promjenu zaporki svakih 30 do 180 dana na temelju vremena koliko je trajalo da se na grubo forsira lozinka – da se pogodi svaka moguća kombinacija znakova – ali najbolji savjet sada je promijeniti ih u bilo kojem trenutku kada je kršenje podataka utjecalo na tvrtku sa koji imate račun. Opet, ovdje mogu biti korisni upravitelji lozinki. Neke vam ne samo pomažu u pohrani lozinki, već mogu generirati i slučajne jedinstvene lozinke u vaše ime.

2FA i 2SV

Uvijek omogućite dvofaktorsku provjeru autentičnosti (2FA) i / ili provjeru u dva koraka na svojim računima kada je to moguće. Te sigurnosne mjere zahtijevaju da se netko prijavi na jedan od vaših računa s novog ili nepoznatog uređaja kako bi provjerio svoj identitet alternativnim načinima.

2FA uključuje tehnologije poput pametnih kartica, Yubikeya i biometrijskih skeniranja za provjeru vašeg identiteta.

Uobičajeni primjer 2SV dogodi se kada nakon unosa korisničkog imena i lozinke također morate unijeti PIN broj ili kôd koji vam se putem SMS-a šalje na uređaj. Google Authenticator i Authy pouzdane su aplikacije koje se koriste za 2SV i dobra su opcija ako nemate telefonski broj ili često mijenjate brojeve.

Potvrda e-pošte još je jedan oblik 2SV, ali to je najslabija opcija. Provjera e-pošte ne bi pomogla Zedu u vrijeme kad je njezin napadač preuzeo kontrolu nad računima e-pošte.

“Ja koristim [2FA / 2SV] za svaki račun koji imam koji nudi”, kaže Zed.

Veze i zlonamjerni softver

Zedov napadač svoje zaražene uređaje nije inficirao zlonamjernim softverom koliko znamo, ali prevariti korisnike na imitacijska mjesta na kojima unose privatne podatke ili su prevareni u preuzimanju i instaliranju zlonamjernog softvera uobičajena su taktika. Osobito za rukovoditelje i IT osoblje, to je često cilj zločina.

Zlonamjerni softver može oštetiti računalne sustave, ukrasti podatke, pa čak i šifrirati čitave pogone i zadržati ih za otkup. Potonji krajnji naziv, poznat kao “ransomware”, osobito je popularan i učinkovit već od kasnog vremena. Organizacije mogu izgubiti pristup vitalnim podacima i prisiljene su platiti ogromne svote bitcoina hakerima u zamjenu za lozinku koja može dešifrirati njihove uređaje.

Važno je uvijek biti oprezan veza. Ne klikajte na veze u e-porukama, porukama ili web stranicama koje ne prepoznajete. Lažno je podmetanje adresa s kojih se šalje e-pošta ili na koje se odgovara. Pročitajte više o tome kako uočiti krađu identiteta ovdje.

Na stolnim preglednicima možete prijeći pokazivačem miša preko hiperveze kako biste prikazali gdje se zapravo vodi u donjem lijevom kutu prozora preglednika. Pazite na poddomene koje se koriste da bi URL-ovi izgledali zakonito. Na primjer, web mjesto Paypala je “www.paypal.com”. Web-lokacija izdavača može staviti “paypal” kao svoju poddomenu i službenu domenu najviše razine tako da koristi URL “paypal.official-paypal.com”.

Uvijek koristite anti-malware kod skeniranja u stvarnom vremenu i budite ažurni.