Próba wyłudzenia danych lub nakłonienia do wykonania określonej czynności poprzez pocztę elektroniczną jest dość często spotykane, zwłaszcza w kontekście bankowości. Atakujący może próbować przekonać ofiarę by podała login i hasło, a następnie kod jednorazowy. Dość ciekawą próbę wyłudzenia opisał serwis Bleeping Computer[1].
Użytkowniczka YouTube’a, prowadząca kanał TeslaJoy otrzymała maila, w którym została poinformowana o naruszeniu wielu punktów serwisowego regulaminu. Z tego powodu musiała podać adres kanału, rodzaj treści tam umieszczanych, czy posiada do nich prawa oraz (uwaga!) hasło do konta…
Pomijając fakt, że YouTube nigdy nie prosi użytkowników o podanie tego typu informacji, to podawanie hasła na prośbę mailową jakiegokolwiek serwisu lub usługodawcy jest bardzo złym pomysłem. W tym przypadku osoba próbująca wyłudzić dane, otrzymałaby komplet informacji potrzebnych do przejęcia kanału.
This email was sent to my public facing email from my channel (for biz), not the actual email I use linking to my channel that I communicate w/ @YouTube . Note the various typos. I've contacted YouTube support and reported this. If you receive this please do the same. Thank you.
— Tesla Joy (@TeslaJoy) May 5, 2019
Najlepszym sposobem na tego typu ataki jest pamiętanie by wrażliwych danych nigdy nie podawać, bo prośba o takowe w ogóle nie powinna paść. Dotyczy to nie tylko wyżej opisanego ataku, ale również maili, które mogą rzekomo pochodzić z banku czy urzędu. Ważne jest by również pamiętać o aktywowaniu dwuskładnikowego uwierzytelniania wszędzie tam, gdzie to tylko możliwe. W ten sposób nawet jeżeli stracimy login i hasło, to wciąż potrzebny będzie dodatkowy kod do zalogowania.
[1]https://www.bleepingcomputer.com/news/security/scammers-try-to-trick-youtubers-into-giving-up-password/
