Hackers, die valse URL’s misbruiken, stelen veel credentials van mobiele gebruikers van Facebook, hier is hoe je jezelf kunt verdedigen en hoe je de val kunt spotten
Een nieuwe hackeraanval doet de ronde op Facebook, en het treft vooral degenen die inloggen via smartphone browsers. Het is niet echt malware, maar een techniek om de URL voor toegang tot sociale media te veranderen en de gebruikersgegevens te stelen.
Een URL bestaat meestal uit drie delen. Het domein (verplicht), dat de naam van de site aanduidt. Een sub-domein, dat optioneel is, en een pad (ook optioneel) dat kort aangeeft waar we zijn. De officiële URL van de mobiele versie van Facebook is m.facebook.com. Waarbij de emme aangeeft dat dit de mobiele versie is en Facebook het domein is. Cybercriminelen maken misbruik van de onoplettendheid van veel gebruikers en linken naar onbetrouwbare toegangspagina’s, zoals http://m.facebook.com-validate-step1.rickytaylk.com/sign_in.html. Hier is een schijnbaar onschuldig subdomein ingevoegd, maar de hacker gebruikt het om onze inloggegevens te achterhalen.
Hoe de zwendel werkt
Als we onze inloggegevens op deze nep-inlogpagina invoeren, meldt de site ons dat er een verificatiefout is opgetreden. Tegen die tijd, zal de hacker ons wachtwoord gestolen hebben. De koppeltekens tussen facebook.com en “validate” zijn op een subtiele manier ingevoegd. Op een PC zien we de volledige URL, maar in de mobiele versie zien we alleen m.facebook.com plus een paar streepjes. Als we niet oppassen, is het heel moeilijk om deze nep URL te herkennen. Cyberbeveiligingsonderzoekers hebben nep-URL’s als deze opgespoord in e-mailconversaties, sms-berichten, messaging-apps en binnen sociale media zelf.
Hoe jezelf te verdedigen
Er zijn een paar technieken die je kunt gebruiken om deze phishing-aanvallen te herkennen. In de eerste plaats wordt geadviseerd de sociale media en onze privéprofielen te openen door het adres van het sociale platform handmatig in te typen, zodat we niet in een val kunnen lopen. We moeten ook vermijden te klikken op onbetrouwbare links op WhatsApp of via e-mail. We moeten ook vermijden dat we hetzelfde wachtwoord gebruiken voor al onze accounts. Anders zou de hacker, nadat hij onze Facebook-gegevens heeft gestolen, ook toegang kunnen krijgen tot onze bankrekening of e-commercegegevens. Een wachtwoordmanager kan worden gebruikt om verschillende wachtwoorden te onthouden. Het beste advies is echter om tweestapsverificatie te activeren, zodat de cybercrimineel niet alleen ons wachtwoord nodig heeft om toegang te krijgen tot ons profiel.