Scam sa Email para sa Update sa Seguridad ng Account

Napakahalaga na manatiling mapagmatyag kapag nakikitungo sa mga hindi inaasahan o nakababahalang email. Regular na sinasamantala ng mga cybercriminal ang takot at pagkaapurahan upang manipulahin ang mga gumagamit at makagawa ng mga magastos na pagkakamali. Ang tinatawag na mga email na 'Account Security Update' ay hindi nauugnay sa anumang lehitimong kumpanya, organisasyon, o entidad. Ang mga ito ay ginawa lamang upang linlangin ang mga tatanggap at kumuha ng sensitibong impormasyon.

Ano ang Scam sa Email na 'Account Security Update'?

Ang scam sa Account Security Update ay isang klasikong kampanya ng phishing kung saan ang mga umaatake ay namamahagi ng mga email na nagpapanggap na mga agarang abiso sa seguridad. Natuklasan ng mga mananaliksik ng Infosec na sumuri sa mga mensaheng ito na naglalaman ang mga ito ng mga gawa-gawang pahayag tungkol sa mga isyu sa account at idinisenyo upang pilitin ang mga tatanggap na bisitahin ang isang naka-link na website. Ang tunay na layunin ay hindi proteksyon, kundi pagnanakaw ng data.

Ang Mapanlinlang na Mensahe: Ang Pagmamadali Bilang Isang Sandata

Ang mga email na ito ay karaniwang nagkukunwaring galing sa isang service provider at nagbabala na ang account ng tatanggap ay nangangailangan ng agarang pag-verify para sa 'patuloy na pag-access.' Isang maikling deadline, kadalasan ay 48 oras, ang itinatampok upang lumikha ng takot at pigilan ang makatuwirang pagsisiyasat.

Kabilang sa mga karaniwang elemento ang:

• Mga nakababahalang pahayag tungkol sa kahina-hinalang aktibidad o mga pagkabigo sa seguridad
• Isang kitang-kitang button na "call-to-action," tulad ng 'I-verify ang Aking Account'
• Wikang idinisenyo upang magtunog opisyal, apurahan, at makapangyarihan

Ang pakiramdam na ito ng pressure sa oras ang sentro ng scam, na nagtutulak sa mga biktima na mag-click muna bago mag-isip.

Kung Saan Talaga Patungo ang Link

Ang naka-embed na link ay nagre-redirect sa mga user sa isang mapanlinlang na website na ginawa para gayahin ang isang lehitimong login page. Anumang impormasyong inilagay doon ay direktang ipinapadala sa mga scammer. Pangunahing tinatarget ng mga pahinang ito ang:

• Mga email address o username
• Mga password ng account

Kapag nakuha na, maaaring masubukan ang mga kredensyal na ito sa maraming platform, na magbibigay-daan sa mga kriminal na ma-access ang email, mga social network, mga portal ng pagbabangko, mga serbisyo sa paglalaro, at marami pang iba.

Ano ang Ginagawa ng mga Scammer sa mga Na-hijack na Account

Ang mga nakompromisong account ay mahahalagang kagamitan para sa mga cybercriminal. Depende sa uri ng account, maaaring gamitin ito nang mali ng mga umaatake para:

• Magnakaw ng mga pribadong komunikasyon at personal na datos.
• Magpanggap bilang biktima para manloko ng kanilang mga kontak.
• Pagtatangka ng pandaraya sa pananalapi o mga hindi awtorisadong pagbili.
• Magpamahagi ng mga karagdagang mensahe ng phishing o malware.

Bilang resulta, ang mga biktima ay maaaring maharap sa pagnanakaw ng pagkakakilanlan, pagkalugi sa pananalapi, at pangmatagalang pinsala sa reputasyon.

Hindi Lamang Phishing: Kapag ang mga Email ay Naging Mga Pag-atake ng Malware

Bagama't pangunahing nakatuon ang scam na Account Security Update sa pagnanakaw ng kredensyal, kadalasang ginagamit din ang mga katulad na kampanya upang maghatid ng malisyosong software.

• Mga Mapanganib na Kalakip
• Ang ilang phishing email ay may dalang mga nahawaang file na nagkukunwaring mga dokumento o archive, tulad ng:
• Mga file na Word, Excel, o PDF
• Mga archive ng ZIP/RAR
• Mga executable, script, o ISO image

Ang pagbubukas ng mga file na ito, o pag-enable ng mga feature tulad ng mga macro, ay maaaring mag-activate ng malware na makakasira sa system.

Mga Mapanganib na Link

Kasama sa iba pang mga email ang mga link sa mga peke o nakompromisong website. Ang simpleng pagbisita sa mga ito ay maaaring magdulot ng mapanlinlang na mga download prompt o awtomatikong pag-drop ng malware, depende sa setup ng imprastraktura ng attacker.

Sa karamihan ng mga totoong kaso, nagsisimula ang mga impeksyon pagkatapos mag-click ang isang user sa isang malisyosong link o magbukas ng isang attachment na may booby trap.

Paano Protektahan ang Iyong Sarili

• Tratuhin ang mga hindi hinihinging alerto sa seguridad nang may pag-aalinlangan.
• Iwasan ang pag-click ng mga link o pagbubukas ng mga attachment mula sa mga hindi inaasahang email.
• I-access ang mga serbisyo sa pamamagitan ng manu-manong pag-type ng kanilang opisyal na address ng website.
• Gumamit ng matibay at natatanging mga password at paganahin ang multi-factor authentication.
• Iulat at burahin ang mga kahina-hinalang email sa halip na makipag-ugnayan sa mga ito.

Mga Pangwakas na Kaisipan

Ipinapakita ng scam sa email ng Account Security Update kung gaano kapani-paniwalang ginagaya ng mga kriminal ang lehitimong komunikasyon upang magnakaw ng data. Dahil ang mga mensaheng ito ay hindi konektado sa anumang totoong organisasyon, anumang mga paratang na ginagawa nila tungkol sa mga isyu sa account ay gawa-gawa lamang. Ang kamalayan, pag-iingat, at disiplinadong mga gawi sa email ay nananatiling pinakamabisang panlaban sa mga banta na nakabatay sa phishing.