Facebook
De laatste phishing-campagne, gericht op het stelen van Facebook-accounts, is in een stroomversnelling geraakt. Gebruikers ontvangen massamails met dreigementen vanwege zogenaamde copyright-overtredingen. Het doel is om de inloggegevens van gebruikers te stelen. Wij leggen uit hoe deze nieuwe truc eruitziet en hoe u voorkomt dat u erin trapt.
Wie, ik?
Het bericht luidt ongeveer als volgt: “Uw Facebook-account is uitgeschakeld wegens een overtreding van gebruiksvoorwaarden van Facebook. Als u denkt dat deze beslissing onjuist is, kunt u beroep aantekenen via deze link.”
Wat zou het probleem kunnen zijn? Een video die u vorig jaar publiceerde met uw vrienden die op een bekend nummer dansten? Zou dat het echt zijn? Nou, misschien wel: de link leidt immers naar een bericht over copyright-schending van muziek. Het adres van de pagina is facebook.com, en de notificatiepagina bevat een link naar een formulier om beroep aan te tekenen. Tot dusverre lijkt het allemaal echt.
De angst dat u uw account kwijtraakt en het gebrek aan verdachte tekens in het adres van de link kunnen ervoor zorgen dat u uw volledige naam en gebruikersnaam inderdaad invoert. Maar dan volgt er een verzoek waar niemand zomaar aan zou moeten voldoen: “Voer voor uw eigen veiligheid uw wachtwoord in.”
En… daar gaat u. Uw gebruikersnaam en wachtwoord (en dus uw hele account) zijn nu in handen van cybercriminelen.
We hebben het al eerder gezegd en we zeggen het opnieuw: klik niet op links in verdachte e-mails. Zelfs de meest vaardige gebruiker kan wel eens een keer in een goed geschreven, goed ontworpen bericht trappen dat door de spamfilter is geraakt, een geloofwaardige link bevat en er over het algemeen legitiem uitziet.
Wat is de truc?
Bij nadere inspectie is deze vorm van oplichting toch niet zo slim. Bij elke fase van het plan zijn er alarmsignalen. Het is belangrijk om kalm en alert te blijven. Paniek kan zelfs bij voorzichtige mensen tot gevaarlijke acties leiden.
Laten we beginnen met de e-mail. Ten eerste verraadt de tekst de oplichters al. Hoewel er geen sprake is van de kolossale taalfouten die we vaak in spamberichten zien, zal iedereen die bekend is met de manier van communiceren van Facebook opmerken dat het lettertype niet echt lekker wegleest. Vervolgens introduceren de aanvallers om spamfilters om de tuin te leiden met opzet typfouten in de body van de e-mail. In dit geval gebruikten ze de oude “hoofdletter I in plaats van kleine letter L-truc”. Als uw mailclient een schreef-lettertype gebruikt, is dat verschil eenvoudig te zien.
Zo ziet het bericht eruit als de mailclient een schreef-lettertype gebruikt. De vervangen letters verraden de scammers
Als het lettertype sans serif is (schreefloos), zult u zo’n verandering niet zien. Laten we eens verder kijken naar de volgende aanwijzing. Let goed op het verzendadres. De naam zegt Facebook, maar het daadwerkelijk adres (in sommige mailclients helaas weergegeven in een onopvallende grijze kleur) heeft niets met het sociale netwerk te maken. Officiële Facebook-notificaties zouden nooit van zo’n soort adres komen.
Als uw mailclient een schreefloos lettertype gebruikt, zien de kleine letter L en de hoofdletter i er identiek uit, maar het verzendadres verraadt de oorsprong: geen Facebook
De link in de e-mail verwijst niet naar Facebook. Zoals we al vermeldden, is dat een andere truc om spamfilters om de tuin te leiden — en de slachtoffers zelf. Maar de pagina bevat geen officieel bericht; het is een note. Tot oktober vorig jaar kon elke gebruiker er een creëren met gebruik van Facebook Notes. Ten tijde van dit schrijven is de tool uitgeschakeld, maar oude notes zijn nog altijd toegankelijk. Bovenaan de pagina staat de gebruikersnaam, die er in dit geval echt uitziet: Case #5918694.
De adresbalk laat zien dat de tekst iemands Facebook Note is
De link is extern, maar vermomd als interne link. Als we er met de muis overheen gaan, zien we dat het vanaf Facebook naar een derde site verwijst die ingekort is met gebruik van Bitly.
Het adres van de link is links onderin zichtbaar. Op het eerste gezicht lijkt het een interne link te zijn, maar hij verwijst naar een externe bron via bit.ly
De link opent een formulier waarin om het e-mailadres of telefoonnummer dat aan uw Facebook-account is gekoppeld wordt gevraagd. Het pagina-adres lijkt op dat van Facebook, maar bij nadere inspectie is te zien dat het niets met dit sociale netwerk te maken heeft.
De adresbalk toont “.com” gevolgd door een willekeurige reeks cijfers
Als u op de knop Verzenden klikt, verschijnt er een formulier om uw wachtwoord in te vullen. Dat is de laatste stap. U voert een echt wachtwoord in en dat is het dan: de cybercriminelen hebben nu uw gegevens.
En ten slotte, het invoerformulier voor uw wachtwoord
Zo beschermt u uw Facebook-account tegen kaping
U kunt dit soort phishing-campagnes tegengaan (niet alleen die met betrekking tot Facebook) door de volgende simpele regels op te volgen.
- Neem de tijd en raak niet in paniek;
- Controleer het verzendadres voordat u op links in de e-mail klikt. Het is bijvoorbeeld onwaarschijnlijk dat Facebook notificaties verstuurt vanaf non-Facebook-maildomeinen;
- Let op vreemde lettertypes en spelfouten in de tekst van de e-mail, en als daar inderdaad sprake van is, is het bericht verdacht;
- Log altijd op uw account in via de app of door de URL in uw adresbalk in te voeren (door deze zelf te typen, niet door op een link te klikken). Zelfs als u vermoedt dat u een echte melding hebt ontvangen met betrekking tot overtreding van de servicevoorwaarden;
- Vermijd het invoeren van uw inloggegevens op pagina’s van derden of andere pagina’s. Als u dat toch hebt gedaan en uw account kwijt bent geraakt, neem dan onmiddellijk contact op met de klantenservice. Hier vindt u nog een aantal handige tips in het geval u gehackt bent.
- Installeer een betrouwbaar beveiligingssysteem, zoals Kaspersky Security Cloud, dat u waarschuwt als u een verdachte pagina opent en u tevens beschermt tegen malware, gegevensverzameling, webcam-surveillance en andere dreigingen.
Tips