Annons
De som misslyckas med att uppmärksamma är ofta de första att ge efter för nya hacks och bedrägerier - och om du använder regelbundet Facebook, vilket är mer troligt än inte, då kan du behöva börja betala mer uppmärksamhet.
Detta gäller särskilt om du föredrar mobil framför skrivbordet.
Scammare, efter att ha noterat att mobiltrafiken nu är större än PC-trafik i hela världen, börjar anpassa sina tekniker för att dra fördel av mobila användare. Och med tanke på hur mobila enheter tenderar att vara mindre skyddade än datorer, är detta ett vinnande drag för dem.
Fortsätt läsa för att lära dig mer om hur denna nya scamming-teknik fungerar, vad du ska leta efter och hur du kan hålla dig säker framöver.
Så fungerar Facebook Login Scam
Bedrägeriet använder en teknik som heter URL-stoppning. En typisk URL består av tre delar:
- En domän (obligatorisk)
http: //facebook.com/photo.php? fbid = 123456 - Ett underdomän (valfritt)
http: //m.facebook.com / photo.php? fbid = 123456 - En sökväg (valfritt)
http://m.facebook.com/photo.php? fbid = 123456
Som mobilanvändare har du utan tvekan sett det m.facebook.com i din webbläsares adressfält medan du använder Facebook. Detta är subdomän + domänkombinationen som visar att du är på mobilversionen av Facebooks webbplats. När du ser det känner du dig säker.
URL-padding är när en scammer skapar ett underdomän på en helt annan domän för att efterge sig vissa webbplats och "padsar" underdomänet med oskyldiga karaktärer för att få användarna att tro att de är på riktigt webbplats.
Här är ett exempel på en URL från PhishLabs:
http://m.facebook.comvalidatestep1.rickytaylk.com/sign_in.htmlOm du besöker webbplatsen får du en exakt kopia av den faktiska mobilversionen av Facebooks hemsida och ber dig ange dina referenser så att du kan logga in. En kunnig men ouppmärksam användare kan titta på URL: n m.facebook.com, anser kusten vara klar och logga in.
När du har angett dina referenser är spelet slut. Webbplatsen kommer att presentera ett iögonfallande fel (t.ex. lösenordsstörning) men skadorna kommer redan att göras: de har lagrat ditt användarnamn och lösenord och kan nu få åtkomst till ditt riktiga Facebook-konto eller använda dessa referenser för att försöka bryta in dina andra konton: Gmail, Amazon, PayPal, banker, etc.
Kärnläsare kommer att notera att den faktiska domänen för denna misstänkta URL är rickytaylk.com och det har tre kapslade underdomäner under sig:
comvalidatestep1Facebookm
Du skulle förmodligen se det som en uppenbar scammy URL om du skulle möta den på en dator, men här är vad en mobilanvändare skulle se:
Vadderade URL: er kan skickas genom alla typer av kommunikationsmetoder: e-post, textmeddelanden, messenger-appar och mer.
Det sorgliga är att falska webbadresser är inget nytt. Tidigare i år upptäcktes en exploit i Chrome (och andra Chromium-baserade webbläsare) där URL: er kunde ändras så att de visas som andra webbadresser. Lyckligtvis korrigerades felet innan svindlare kunde åka till staden men visar att det är bara att lita på en URL dåraktig.
Hur du säkra ditt Facebook-konto
Det enda sättet att skydda mot en vadderad URL är att lära sig att hitta nätfiskmeddelanden, och ännu viktigare är det att du bara besöker känsliga webbplatser genom att skriva domäner direkt i webbläsarens URL-fält.
Det är en mindre besvär, men det är värt. Jag gör det hela tiden, särskilt när jag kontrollerar bankkonton och använder e-handelssajter. Med tiden kommer det att vara av andra slag och din hastighet på att bli lurad sjunker.
Tänk om du redan har fallit för det? Eller vad händer om någon på något annat sätt får tag i dina inloggningsuppgifter på Facebook? Här är några extra saker du kan göra för att hålla dig säker.
Använd unika lösenord
Ett av de värsta lösenordsfelen är att använda samma lösenord för alla dina konton.
Du vet hur de flesta tjänster kräver ett e-postmeddelande för att registrera sig? Tja, om du är som de flesta använder du samma e-postadress för alla tjänster. I så fall, om någon räknar ut ditt lösenord för ett konto, då har de nu oavsiktligt tillgång till Allt av dina konton.
Genom att använda ett separat lösenord för varje konto och aldrig upprepa dem kan du begränsa skadan avsevärt. Tror du inte att du kan hålla alla dessa lösenord rakt i huvudet? Börja använda a lösenordshanterare som LastPass 5 bästa LastPass-alternativ för att hantera dina lösenordMånga anser LastPass vara kungen för lösenordshanterare; den är full av funktioner och har fler användare än någon av sina konkurrenter - men det är långt ifrån det enda alternativet! Läs mer och du behöver aldrig oroa dig för lösenord igen.
Använd inloggningsgodkännanden och koder
Det bästa du kan göra för din Facebook-säkerhet är kanske att göra aktivera tvåstegsverifiering Så här ställer du in tvåfaktorautentisering för alla dina sociala kontonLåt oss se vilka sociala medieplattformar som stöder tvåfaktorsautentisering och hur du kan aktivera den. Läs mer . Med tvåstegsverifiering aktiverad kan du lägga till extra lager med skydd med Inloggningsgodkännanden och Kod generator.
Med Inloggningsgodkännanden, Facebook skickar ett SMS till din telefon när någon försöker logga in på den. Textmeddelandet innehåller en numerisk kod som måste anges för att ge åtkomst. Även om någon har ditt lösenord kan de inte logga in om de inte har din telefon också.
Kod generator är en liknande funktion som finns i Facebook-mobilappen. Appen själv genererar en kod som måste anges för att logga in på Facebook från en annan enhet. Det är ett bra alternativ när du inte har en internetanslutning eller SMS.
Använd U2F-säkerhetsnycklar
EN U2F-säkerhetsnyckel Fördelar och nackdelar med tvåfaktorsautentiseringstyper och metoderTvåfaktors autentiseringsmetoder skapas inte lika. Vissa är påvisbart säkrare och säkrare. Här är en titt på de vanligaste metoderna och vilka som bäst uppfyller dina individuella behov. Läs mer är en fysisk enhet som liknar en USB-flashenhet. Istället för att knyta tvåstegsverifiering till din telefon (som med inloggningsgodkännanden och kodgenerator), bekräftar du inloggningar genom att ansluta U2F-nyckeln till enheten du loggar in med.
Facebook är inte den enda webbplats som stöder U2F - andra inkluderar Gmail, YouTube, WordPress, GitHub och listan växer - men du måste använda Chrome eller Opera för att den ska fungera.
Thetis U2F säkerhetsnyckel är en prisvärd en som du kan ta bort Amazon (du behöver bara en nyckel per person), men det finns dyrare med fler funktioner. Till exempel YubiKey NEO stöder NFC så att du bara kan trycka på den (bra för smartphones och surfplattor).
Notera: Var försiktig när du använder inloggningsgodkännanden, kodgenerator och U2F-säkerhetsnycklar. Om du någonsin tappar din andra stegs autentiserare (dvs. din telefon eller U2F-nyckel), gör du så här återställ ditt Facebook-kontoinloggning Hur du återställer ditt Facebook-konto när du inte längre kan logga inVi visar hur du återställer ditt Facebook-konto med fem beprövade alternativ för återställning av Facebook-konton. Få tillbaka ditt konto nu! Läs mer .
Fler tips för att undvika bedrägerier på webben
URL-padding är bara det senaste i historia om Facebook-brister och överträdelser. För största säkerhet, vet vad du ska göra om ditt Facebook-konto är hackat 4 saker att göra omedelbart när ditt Facebook-konto hackadesOm du misstänker att ditt Facebook-konto har hackats är det här du ska göra för att ta reda på och återfå kontrollen. Läs mer . Malware är också en stor risk, så håll dig uppdaterad förebygga och ta bort skadlig programvara och virus från Facebook Hur man förhindrar och tar bort Facebook Malware eller VirusMalware från Facebook är ett hot, men du behöver inte oroa dig för det om du följer detta råd. Så här undviker du den otäcka sidan av Facebook. Läs mer .
Har du stött på URL-padding på Facebook? Hur håller du ditt Facebook-konto säkert? Dela med oss i en kommentar nedan!
Bildkredit: Brian A Jackson via Shutterstock.com
Joel Lee har en B.S. inom datavetenskap och mer än sex års yrkeserfarenhet. Han är chefredaktör för MakeUseOf.
