Nowy cyber-scam zbierający loginy do kont mediów społecznościowych przechodzi przez urządzenia z systemem iOS, oszukując użytkowników dzięki realistycznie wyglądającemu procesowi logowania, który jest w rzeczywistości symulacją wideo. Niczego nie podejrzewające ofiary wpisują swoje dane uwierzytelniające na Facebooku do fałszywego ekranu logowania, który następnie wysyła poświadczenia bezpośrednio do C&C szkodliwego oprogramowania (serwera dowodzenia i kontroli).

Oszustwo zaczyna się od autentycznie wyglądającej strony internetowej, takiej jak Airbnb, która zachęca użytkownika do zalogowania się za pomocą swojego konta na Facebooku. Gdy użytkownik naciśnie przycisk „Zaloguj się za pomocą Facebooka”, wideo płynnie się odtwarza, co sprawia, że wygląda na to, że Facebook jest otwierany w innym oknie Safari na urządzeniu. Użytkownik jest następnie proszony o wprowadzenie swoich danych logowania do Facebooka.

Eksperci twierdzą, że uważne oko może dostrzec niedociągnięcia w podstępie, a mianowicie, że podczas gdy fałszywa karta Facebooka „otwiera się”, URL pochodzenia pozostaje zminimalizowany w trakcie procesu, pokazując, że użytkownik jest nadal na tej samej złośliwej stronie. Jednak większość użytkowników nie zwraca uwagi na tego typu drobiazgi, a w dodatku symulacja wideo w nowej karcie wygląda bardzo realistycznie i nie budzi podejrzeń. Użytkownicy widzą to, do czego są przyzwyczajenie na swoich urządzeniach z systemem iOS.

Aby upewnić się, że nie padniesz ofiarą tego czy innych podstępnych ataków phishingowych, Avast zaleca:

1. Zainstaluj mobilny produkt zabezpieczający - posiadanie ochrony przedciemną stroną internetu, cyberprzestępcami oraz hakerami, którzy próbują przeniknąć do systemu i ukraść dane, to podstawa. Potężna sieć bezpieczeństwa, taka jak Avast Mobile Security dla iOS, zapewnia bezpieczeństwo za każdym razem, gdy jesteś online z telefonem lub tabletem.

2. Użyj menedżera haseł - menedżer haseł zapamiętuje wszystkie hasła i automatycznie je wypełnia na legalnych stronach internetowych, a w przypadku tego specyficznego oszustwa phishingowego chroniłoby Cię, rozpoznając złośliwą witrynę jako nieuprawnioną i odmawiając automatycznego wypełnienia poświadczeń. Możesz zainstalować Avast Passwords dla iOS za darmo.

3. Włącz uwierzytelnianie 2-składnikowe - dzięki 2FA lub MFA (uwierzytelnianie wieloczynnikowe), haker który może mieć w posiadaniu Twoje dane do logowania nadal będzie potrzebował unikatowego kodu, aby dostać się na Twoje konto. Jest to środek bezpieczeństwa, który wymaga dodatkowego kroku po zalogowaniu się, szczególnie przydatny jeśli Twoje dane do logowania zostaną naruszone.

4. Unikaj klikania linków i plików do pobrania - za każdym razem, gdy otrzymasz wiadomość lub wiadomość e-mail, dotyczącą jednego ze swoich kont, szczególnie takie wzywające do "weryfikacji" konta i zawierające link do strony na której możesz to zrobić... natychmiast zamknij i usuń tę wiadomość. Nigdy nie klikaj na tego typu linki. Najczęściej są to oszustwa phishingowe. Nawet jeśli wydaje się, że pochodzi od kogoś, kogo znasz. Zamiast klikać (lub pobierać załącznik), usuń wiadomość e-mail i skontaktuj się bezpośrednio z podmiotem lub instytucją, w celu weryfikacji tej informacji.

5. Protokół https i zielona kłódeczka to nie wszystko.- Chociaż zawsze nalegaliśmy, abyś odwiedzał tylko zabezpieczone strony HTTPS oznaczone ikoną zielonej kłódki, cyberprzestępcy są coraz bardziej wyrafinowani. Potrafią złośliwe witryny zabezpieczyć za pomocą HTTPS, aby bardziej uwiarygodnić swoje oszustwo.

„Pamiętaj, że protokół HPPS oznacza, że dane między Tobą a stroną internetową są wymieniane w bezpieczny sposób i nie dochodzi do naruszenia podczas transmisji. Ale nie gwarantuje to w żaden sposób wiarygodności samych treści, zamieszczonych w witrynie. ”, komentuje Avast Ekspert do spraw bezpieczeństwa Martin Hron