X や他のソーシャル メディアでは #SAFU のままにしておいてください。
X の @JasonYanowitz が、彼の #hack の体験を語っています。
昨日、ハッキングされました。愚か者のように思われるかもしれませんが、この悪夢を避けるために、その経緯を共有します。ここ数週間、誰かが私のアカウントに侵入しようとしています。#Crypto アカウント、メール、Twitter など... 数日ごとに、誰かが私のアカウントの 1 つにアクセスしようとしているというメールが届きます。ありがたいことに、すべてにテキスト以外の #2FA を設定しているので、ハッキングされることはありませんでした。そのため、昨夜夕食から戻ってこのメールを見たとき、私はパニックになりました。
北キプロスの誰かがついに私のアカウントにハッキングすることに成功したようです。私のセキュリティが十分でなかったため、抜け穴を見つけたのでしょう。
「アカウントを保護する」リンクをクリックしました。ユーザー名とパスワードを入力し、新しいパスワードに更新すると、なんと、ログインできました。危機は回避されました。少なくとも、そう思ったのですが。しばらくして、メール アドレスが変更されたというメールが届きました。
これが本当のハッキングでした。
これで、正式にアカウントからロックアウトされました。では、どうしてこんなことになったのでしょうか。元のメールは、信じられないほど本物に見えますが、実際にはそうではありませんでした。ほとんどのメール クライアントは実際のアドレスを隠します。
しかし、展開すると、このメールが「verify@x-notify.com」から送信されたことがわかります。偽のアドレスです。フィッシングに遭いました。とても愚かなミスです。Google ドキュメントが送られてきても開きません。リンクをクリックしません。通常はアドレスを確認します。しかし、長い 1 週間が終わった金曜日の午後 8 時に、私は騙されました。このスレッドでかなり愚かなミスが明らかになっていることは承知していますが、同じミスから 1 人でも救えるなら、それだけの価値があります。
覚えておくべきこと:
- リンクをクリックしない
- リンクをクリックした場合は、実際のメール アドレスを確認する
- すべてに非テキスト 2FA を設定する
- 設定した場合は、独自のセキュリティ プロセスを信頼する
- ハッキングされたと思われる場合は、落ち着いて、なぜこのようなことが起こったのかを考える
アカウントをすぐに取り戻すのを手伝ってくれた @KeithGrossman と X の皆さんに心から感謝します。
まだ読んでいる方は、@samczsun の自己監査シリーズをお読みください。
そして、これは @bobbyong からのベストプラクティスです。
他にもできることはたくさんありますが、まずはそこから始めましょう。#phishing