来自多邻国的电子邮件,当心!
多邻国(Duolingo)的猫头鹰邮件,即便不说是坏事,也往往让人觉得烦扰。然而,网络犯罪分子如今掌握了您的电子邮件地址和多邻国数据,他们能够发送针对性极强的邮件,诱骗您落入网络钓鱼的陷阱。
因此,您现在不能再轻易信任来自多邻国的电子邮件了。
攻击者是如何从多邻国获取您的信息的?
无论您是否相信,任何有兴趣且有耐心的人都可以获取您的多数多邻国数据。只需访问 https://www.duolingo.com/profile/ 就可以查看基本的个人资料信息,例如您的用户名、头像以及正在学习的语言。您只需将 [username] 替换为感兴趣的用户的用户名即可。
如果您有充足的时间,甚至可以调查数十个个人资料,检查用户名是否在其他地方使用,或者通过反向图像搜索,查看头像是否在互联网上其他地方出现。
这或许是一种有趣的消遣方式,但如果您的目的是收集大量数据,效率会很低。因此,构建一个能够从网站抓取数据的应用程序就显得简单得多。
利用平台自身的应用程序编程接口 (API),可以更便捷地从脸书(Facebook)、推特(Twitter)、领英(LinkedIn)或多邻国等平台收集大量公开数据。
在2023年1月,The Record 报道称,黑客利用多邻国的API窃取了260万用户的公开数据,并将其发布到已关闭的Breaked.to论坛上进行出售。
虽然多邻国承认这些数据是真实的,但公司坚称这些只是公开的个人资料数据,并未发生黑客攻击或数据泄露事件。
2023年8月22日,恶意软件市场VX-Underground在X(即之前的推特)上透露,这些被抓取的数据还包括用户的电子邮件地址,并且这些地址已经或可能被用于获取更多信息,包括姓名和电话号码。
多邻国数据如何被利用来对付您?
来自多邻国的邮件非常常见,甚至已经成为了一种网络梗。如果您错过了一天的世界语练习,多邻国的吉祥物猫头鹰Duo会出现在您的收件箱中,告诉您它很伤心。
紧随其后,您可能会收到一些略带威胁的邮件,这些邮件可能会告诉您您的连续学习天数已被冻结甚至中断,您的排名正在下滑,然后劝说您完成一节三分钟的课程。
每一封邮件都会包含您最近语言学习活动的信息,并提供一个便捷的登录网站的链接。
现在,您的姓名、多邻国信息和活动数据都在潜在犯罪分子的掌握之中,他们可以很容易地自动生成钓鱼邮件来诱骗您点击链接。
我们认为,该链接很可能会要求您登录,从而将您的密码泄露给攻击者。
如果攻击者利用许多可用的多邻国域名,诈骗邮件可能会显得更加真实。 您会信任来自duolingo.live、duolingo.tech、duolingo.world或duolingo.life的邮件吗? 目前,这些域名的售价都在10美元以下,而更引人注目的duolingo.club的售价则相对较高,约为600美元(截至本文撰写时)。
一旦掌握了您的电子邮件地址和密码,犯罪分子就可以开始攻击您的其他在线账户。
如何保护自己免受多邻国钓鱼诈骗
如果您担心自己的数据可能包含在那260万条数据集中,首先应该做的就是访问Have I Been Pwned,然后输入您的电子邮件地址。 如果您的数据确实被泄露,您将会看到导致数据泄露的漏洞。
接下来,您应该取消订阅所有多邻国的邮件。 反正它们通常会让人感到烦扰,并且如果您的收件箱中出现任何邮件,您都会立刻知道它们来自骗子。 不过,请使用来自该服务的历史真实邮件来执行此操作,因为即使是取消订阅按钮也可能是个骗局!
为每个您使用的服务创建单独的密码始终是一个好主意。 这样,即使您的密码在数据泄露中被泄露,或者您在网络钓鱼攻击中意外泄露密码,该密码也不会泄露您其他帐户的信息。
如果可以的话,也为每个网站或应用使用唯一的电子邮件地址。 伪装您的电子邮件地址很容易,而且可以防止您的地址被传播用于其他诈骗或垃圾邮件活动。 为此,我们建议您使用简单的、可捕捉所有邮件的电子邮件转发服务。
多邻国并非学习新语言的唯一途径
如果您对多邻国通过其API提供公共和私人数据的方式感到不满,或者您对它的说教策略和迂腐的教学方式感到沮丧,您可能会考虑永远放弃Duo。
离开多邻国并不意味着您必须放弃学习,还有很多优秀的网站可以帮助您轻松在线学习语言。