Ach je. Nicht das schon wieder . 68 Millionen Tumblr-Accounts wurden auf das dunkle Web übertragen und werden für den dürftigen Preis von 0, 452 Bitcoins verkauft. Zum Zeitpunkt des Schreibens sind das ungefähr 240 $.
Auf den ersten Blick können Sie eine Parallele zwischen diesem Datenleck und dem LinkedIn Leck von vor zwei Wochen ziehen. Was Sie über die massiven LinkedIn Accounts wissen müssen Was Sie über die massiven LinkedIn Accounts Leak wissen müssen Ein Hacker verkauft 117 Millionen gehackt LinkedIn Anmeldeinformationen auf dem Dark Web für rund 2.200 $ in Bitcoin. Kevin Shabazi, CEO und Gründer von LogMeOnce, hilft uns zu verstehen, was gerade gefährdet ist. Weiterlesen . Erstens sind beide Datensätze wirklich alt; Die LinkedIn-Verletzung stammt aus dem Jahr 2012, und die Tumblr- Version stammt aus dem Jahr 2013. Beide Datensätze sind riesig, und sie wurden beide von derselben Person im Dark-Web aufgelistet - Peace_Of_Mind .
Aber hier enden die Ähnlichkeiten, denn obwohl LinkedIn seine Passwörter nicht richtig gesichert hat, wurden Tumblrs mit (relativ) starker SHA-1-Verschlüsselung geschützt. Dies bedeutet, dass die Wahrscheinlichkeit, dass ein Angreifer in seine Tumblr-Konten eindringt oder die Anmeldekombinationen für andere Dienste wie Facebook, PayPal oder Twitter recycelt, gering ist.
Es gibt jedoch einen Nachteil. Ein Angreifer, der den Speicherabzug kauft, hat jetzt eine Liste mit 68 Millionen aktiven, verifizierten E-Mail-Konten . Dies bedeutet, dass jeder Benutzer, der daran beteiligt ist, einem größeren Risiko von Phishing- und E-Mail-basierten Angriffen ausgesetzt ist .
Wie sieht Phishing 2016 aus und welche Schritte können Sie unternehmen, um sich selbst zu schützen?
Phishing ist nicht passé
Wenn Sie nicht auf den Bericht von Vice's Motherboard gestoßen wären, könnten Sie denken, dass Phishing ein verstaubtes Relikt aus den 1990er und frühen 2000er Jahren ist, das auf das Internet zurückgeht und niemand wirklich wusste, wie die Dinge funktionieren. Sie argumentieren, dass niemand mehr in Phishing-E-Mails verfällt.
Die Statistiken würden gerne widersprechen. Erstens werden Phishing-E-Mails immer noch in unwahrscheinlich großer Zahl verschickt. Laut der Kaspersky-eigenen SecureList machten Phishing- und Spam-E-Mails 54, 2% aller im dritten Quartal 2015 versandten E-Mails aus. Dies war ein leichter Rückgang gegenüber dem Vorquartal, ist aber immer noch eine bemerkenswerte Menge an Nachrichten.
Q3 2015, der Anteil der # Spam im E-Mail-Verkehr entfielen 54, 2% #KLreport #infosec https://t.co/nKGjX6CH3N pic.twitter.com/Sxs0wM7my7
- Kaspersky Lab (@kaspersky) 12. November 2015
Die größte Quelle für Phishing-E-Mails sind die USA, dicht gefolgt von Vietnam, China und Russland. Interessanterweise ist Brasilien das Land mit den meisten von Phishing betroffenen Nutzern, gefolgt von Japan, China und Vietnam. Weder die Vereinigten Staaten noch irgendein anderes entwickeltes westliches Land gehören zu den Top Ten.
Während die Rate der Spam- und Spam-E-Mails insgesamt leicht zurückgegangen ist, ist die Anzahl der Phishing-E-Mails gestiegen. Laut Symantec stieg der Anteil der Phishing-E-Mails im Januar 2015 von einem von 1.517 E-Mails auf eins von 1.004.
Anti-Spam wird immer intelligenter, aber auch Phishing-E-Mails
In den 1990er und 2000er Jahren war Anti-Spam-Software einfach und zweckentfremdet. Viele Programme haben wenig nach Keywords gesucht - wie "viagra" - und alle E-Mails, die sie enthalten, werden gelöscht. Spammer und Phisher haben sie umgangen, indem sie absichtlich die Wörter falsch geschrieben haben, die auf der Keyword-Liste standen. Also wurde "viagra" zu "v1agra", was dann zu "v1agr4" und dann zu "v1a8r4" wurde. Du hast die Idee.
Einige wurden noch kreativer und versteckten die Wörter zwischen Bildern und besonders farbigen Tischen.
Das Endergebnis war, dass die Benutzer buchstäblich mit Spam und Phishing-Angriffen überflutet wurden. Aber das änderte sich gegen Ende der 2000er Jahre, als Anti-Spam schließlich schlau wurde. Schnellere Computer führten dazu, dass Online-E-Mail-Dienste - wie Google Mail und Outlook - in Echtzeit komplizierte Berechnungen durchführen konnten, bei denen festgestellt wurde, ob eine E-Mail an den Posteingang des Benutzers oder an den Spam-Ordner gesendet wurde.
Anstatt nur nach Stichwörtern zu suchen, haben Spam-Filter angefangen, Dinge wie den Ursprung der E-Mail-Nachricht und das Verhalten anderer Benutzer bei E-Mails ähnlicher Art zu untersuchen.
Die Spammer haben nicht aufgegeben. Laut Securelist werden sie sogar noch schlauer und es wird immer schwieriger, eine Phishing-E-Mail zu erkennen. Wie man eine Phishing-E-Mail erkennt Wie man eine Phishing-E-Mail erkennt Phishing-E-Mails zu fangen ist hart! Betrüger stellen sich als PayPal oder Amazon dar, versuchen ihr Passwort und Kreditkarteninformationen zu stehlen, sind ihre Täuschung fast perfekt. Wir zeigen Ihnen, wie Sie den Betrug erkennen können. Weiterlesen .
Eines der Dinge, die Securelist in seinem Bericht angemerkt hat, ist, dass Spammer bei Spam und Phishing oft einen saisonalen Ansatz verfolgen. Im Sommer stellte es fest, dass die Anzahl der Phishing-E-Mails mit einem Reisethema stieg.
"Im Juli versuchten Betrüger, Nutzer hereinzulegen, indem sie im Namen von Hotels gefälschte Benachrichtigungen schickten. Die Nachricht bedankte sich bei den Empfängern für den Aufenthalt in ihrem Hotel und bat sie, die beigefügte Rechnung anzusehen. Das beigefügte Archiv enthielt tatsächlich Trojan-Downloader.Win32.Upatre.dhwi, das wiederum Trojan-Banker.Win32.Dyre (angezeigt als 98. ***. **. 39 / cv17.rar) durch Klicken auf die Links heruntergeladen und ausgeführt hat in den Körper des Downloaders geschrieben. "
Eine Taktik zur Umgehung von Anti-Spam-Programmen besteht darin, alles in eine PDF-Datei zu packen, die der Benutzer dann öffnen würde. Dies ist effektiv, da es sehr schwierig ist, eine PDF-Datei programmgesteuert zu "lesen".
Phishing PDF
hXXp: //dgreenwell.chytrak.cz/Label.html pic.twitter.com/eJl2RmImcJ- JaromirHorejsi (@JaromirHorejsi) am 18. Januar 2016
Wenn Anti-Spam-Filter diesem Trick gerecht werden, verwenden die Spammer mediabox-Objekte in angehängten PDF-Dateien, Elemente in PDF-Dokumenten, die per Mausklick geöffnet werden. Sie können verwendet werden, um den Benutzer auf Phishing-Websites umzuleiten.
Ein Phishing Trampoline - Einbetten leitet in PDF-Dokumenten http://t.co/E7lPSiB4q5 pic.twitter.com/BU97TpD1TK um
- Mohtashim Nomani (@ mohtashim712) 18. September 2015
Dieses Katz-und-Maus-Spiel zeigt kein Ende, mit einem klaren Gewinner. In der Tat könnte sich der Krieg intensivieren.
Legitime Dienste passen ihre E-Mails an, aber auch Angreifer
Um ihre Benutzer vor Phishing-E-Mails zu schützen, haben Online-Dienste - insbesondere Online-Banking-Dienste - ihre E-Mails mit einem kleinen, für den Benutzer einzigartigen Token angepasst. Eine der Banken, die ich verwende, enthält die letzten drei Ziffern meiner Kontonummer in der gesamten elektronischen Korrespondenz. Ein anderer setzt die ersten drei Zeichen meiner Postleitzahl an die Spitze aller E-Mails.
Das sollten Sie immer suchen.
Interessanterweise haben Angreifer auch begonnen, ihre E-Mails zu personalisieren, um effektiver zu sein. Eine Sache, die ich bemerkt habe, ist, dass einige Phishing-E-Mails begonnen haben, den ersten Teil einer E-Mail-Adresse (alles vor dem @) zu nehmen und sie in die Anrede zu setzen. Meine Arbeits-E-Mail lautet "[email protected]", daher beginnen diese E-Mails mit "Dear mhughes".
Text Messaging - Die nächste Grenze des Phishing
Die von uns genutzten Online-Dienste werden zunehmend mit unseren mobilen Geräten verknüpft. Einige Dienste fragen nach Ihrer Telefonnummer, um eine Zwei-Faktor-Authentifizierung einzurichten. Was ist Zwei-Faktor-Authentifizierung und warum sollten Sie sie verwenden? Was ist Zwei-Faktor-Authentifizierung und warum sollten Sie sie verwenden Zwei-Faktor-Authentifizierung (2FA) ist eine Sicherheitsmethode, die zwei verschiedene Arten des Nachweises Ihrer Identität erfordert. Es wird häufig im täglichen Leben verwendet. Zum Beispiel die Zahlung mit einer Kreditkarte erfordert nicht nur die Karte, ... Lesen Sie mehr. Andere fragen danach, um Informationen mit Ihnen zu teilen.
Websites schützen Mobilfunknummern nicht so, wie sie Kennwörter verwenden. Der Grund dafür ist, wenn Sie ein Passwort Hash-and-Salz Jede sichere Website tut dies mit Ihrem Passwort Jede sichere Website tut dies mit Ihrem Passwort Haben Sie sich jemals gefragt, wie Websites Ihr Passwort vor Datenverletzungen schützen? Lesen Sie mehr, es wird unmöglich zu lesen. Damit Websites Nachrichten senden oder eine Nummer anrufen können, müssen sie sie ungeschützt lassen.
Diese Tatsache, gepaart mit extrem billigen (völlig legitimen) SMS-Diensten wie Twilio, Nexmo und Plivo (die den Leuten weniger suspekt sind), bedeutet, dass sich Angreifer zunehmend auf SMS als Angriffsvektor verlassen.
Diese Art von Angriff hat einen Namen: Smishing, während Phishing Phishing genannt wird. Neue Phishing-Techniken zu beachten: Vishing und Smishing Neue Phishing-Techniken zu beachten: Vishing und Smishing Vishing und Smishing sind gefährliche neue Phishing-Varianten. Worauf sollten Sie achten? Wie werden Sie einen Visier oder Smishing-Versuch kennen, wenn er ankommt? Und sind Sie wahrscheinlich ein Ziel? Weiterlesen .
Erhalten Sie verdächtige
Wenn du nicht weißt, ob du im Tumblr-Dump bist, kannst du es herausfinden, indem du nach Troy Hunt's Have I Were Pwned klickst.
Wenn dies der Fall ist, sollten Sie Ihre Kennwörter zurücksetzen und die Zwei-Faktor-Authentifizierung für alle Ihre Konten einrichten. Aber noch wichtiger: Sie sollten Ihren Verdachtsmesser auf elf stellen . Ich habe keine Zweifel, dass betroffene Nutzer in den kommenden Wochen Spam- und Phishing-E-Mails erhalten werden. Sie werden überzeugend aussehen. Um sicher zu gehen, müssen Tumblr-Benutzer eingehende E-Mails mit einer gesunden Portion Skepsis behandeln.
Bist du in das Leck geraten? Erhalten Sie verdächtige E-Mails? Lass es mich in den Kommentaren unten wissen.
Bildnachweis: HTML Table Bitmap (Niels Heidenreich)