Nedavno sam postao žrtva (srećom neuspješnog) phishing napada. Prije nekoliko sedmica, pregledavao sam Craigslist i Zillow: tražio sam da iznajmim mjesto u oblasti zaljeva San Franciska.
Lijepe fotografije mjesta privukle su mi pažnju, pa sam htjela kontaktirati gazde i saznati više o tome. Uprkos mom iskustvu kao profesionalac za sigurnost, nisam shvatio da me kontaktiraju prevaranti sve do trećeg e-maila! U nastavku ću vam detaljno ispričati i analizirati slučaj zajedno sa snimcima ekrana i alarmnim zvonima.
Pišem ovo da ilustrujem da dobro osmišljeni phishing napadi mogu biti vrlo uvjerljivi. Stručnjaci za sigurnost često preporučuju da obratite pažnju na gramatiku i dizajn kako biste se zaštitili od krađe identiteta: prevaranti navodno slabo poznaju jezik i imaju nemaran odnos prema vizualnom dizajnu. U nekim slučajevima ovo zaista funkcionira, ali u mom slučaju nije uspjelo. Najsofisticiraniji prevaranti pišu na dobrom jeziku i stvaraju iluziju poštivanja svih pisanih i nepisanih pravila, pokušavajući da ispune očekivanja žrtve.
Prva slova: generalno nema razloga za brigu
Oglas na Craiglist-u je rekao da se svi zainteresirani mogu javiti. Međutim, sam broj telefona nije bio tamo. Mislio sam da je to bio previd, jer mnogi oglasi rade istu stvar. Onda sam odlučio da pišem stanodavcu i pitam ga za njegov broj, a takođe mi kaže i moj.
U odgovoru je napisao da ga mogu kontaktirati putem mejla: [email zaštićen]. Možda mislite da mi je ovo samo trebalo izgledati čudno. Međutim, potraga za smještajem na takvim resursima često je povezana s nekim problemima s telefonskim brojevima, poštanskim sandučićima i čudnim zaobilaznim rješenjima. Upravo sam napisao e-mail na ovu e-poštu i dobio ovaj odgovor:
Vlasnik postavlja sasvim tipična pitanja: „Kada planiraš da se useliš?“, „Koliko će ljudi živjeti s tobom?“, „Koliki su tvoji godišnji prihodi?“
I tada nisam shvatio da komuniciram sa prevarantima
Gazda je rekao da je često odsutan od kuće na duže vremenske periode, a sada će biti odsutan pune dvije godine. Mislio sam da je to malo čudno, ali svako ima svoje okolnosti, nikad se ne zna. Štaviše, mnogi iznajmljivači s kojima sam razgovarao rekli su istu stvar. A pitanja koja su mi postavljena u pismu izgledala su sasvim prikladna. Tako sam nastavio razgovor i odgovorio im.
Onda sam dobio ovo pismo:
“Ovdje nemam mobilnu vezu, imam pristup samo svom radnom računaru. Nastavit ćemo komunicirati putem e-pošte ako je to za vas."
“3 osobe žele vidjeti nekretninu. Nemam vremena da se sretnem sa svakim od vas. Dat ću vam link... tamo možete rezervisati svoje mjesto (1 mjesečna najamnina unaprijed plus povratni depozit). Ako do sada niste koristili Airbnb, prilično je lako...”
Ovdje su počela zvoniti zvona za uzbunu. Nakon što sam dobio ovo pismo, već sam bio 80-90 posto siguran da se radi o prevarantima
Prvo zvono za uzbunu: „Ovdje nemam mobilnu vezu, imam pristup samo svom radnom računaru. Nastavit ćemo komunicirati putem e-pošte ako je to za vas." Drugo je čudno pojavljivanje Airbnb-a u našem razgovoru.
Zašto su htjeli da plaćam preko Airbnb-a?
Treći znak upozorenja je previše fotografija koje potvrđuju da se radi o stvarnoj osobi. Ali ako identitet nije lažan, zašto se onda toliko truditi da me uvjerite u to?
Međutim, Airbnb me je stvarno zbunio. U ovom trenutku počeo sam snažno sumnjati da komuniciram sa prevarantima, ali ipak nisam bio siguran. Znao sam da njihova prevara neće uspjeti ako rezerviram preko Airbnb-a. Airbnb ima dobro uspostavljenu proceduru rješavanja sporova i mogu brzo dokazati da sam u pravu i vratiti svoj novac.
Pokazao sam oglas prijatelju i on je rekao da nije prevara. Trebali smo se kladiti jer sam na kraju bio u pravu. Ali onda sam odlučio provjeriti je li to prevara ili ne i stoga sam ipak tražio link na Airbnb.
Zamolili su me da sačekam. Čekati šta? I iz nekog razloga su mi savjetovali da osobno pronađem njihov popis na Airbnb-u. I ovo je bilo prilično čudno, i nisam vidio nikakvu svrhu u tome. Ako su me pokušavali prevariti, onda je bilo besmisleno tražiti da im rezerviram mjesto na Airbnb-u.
Ali čekajte... Nisam ga mogao pronaći na Airbnb-u. I onda sam ponovo tražio link...
Poslali su ga. Izgledalo je stvarno i imalo je domenu airbnb.com. Ali pošto ovo nije bio moj prvi lov na phishing prevarante, provjerio sam pravu adresu veze u tekstualnoj verziji pisma (URL Destination). Kako kažu, pronađite dvije razlike:
Q.E.D!
Istina je. Ovo je phishing link. Hajde da pogledamo.
Ovaj snimak ekrana je napravljen nekoliko dana nakon moje prve istrage, kada Chrome nije imao vremena da označi ovaj URL kao opasan. phishing stranica je napravljena savršeno! Interaktivan je i izgleda uvjerljivo. Stoga, lako mogu priznati da oni koji ne sumnjaju u porijeklo URL-a mogu lako nasjesti na prevarante.
Odlične lažne kritike: 5/5. Nastavite sa phishingom, odlično vam ide!
Nisam testirao dugme Zatraži rezervaciju, ali sam siguran da bi me odvelo na stranicu za krađu identiteta gde bi podaci o mojoj kartici bili uspešno ukradeni. Hvala, možda drugi put.
Zašto sam bio tako impresioniran?
Prevarantski tim - a siguran sam da je to bio tim - odradio je odličan posao sa visokim nivoom detalja. Njihov engleski je savršen, njihova e-pošta izgleda profesionalno, njihova phishing stranica izgleda kao Airbnb. Preusmjeravanje na hibernia.ca se konfigurira sa adrese engineers-hibernia-chevron.ca. Ovo će izgraditi povjerenje kod onih koji žele provjeriti svoju domenu.
Još sam više impresioniran njihovim suptilnim psihološkim trikovima. U svakoj fazi interakcije sa mnom ostavljali su jednu nejasnu tačku, koju sam morao da razjasnim sa njima kako bih dalje krenuo ka svom cilju. Mnogo je lakše osjetiti da nešto nije u redu ako vam se postavljaju pitanja. A ako ste vi taj koji postavlja pitanja, postaje mnogo teže stalno ih postavljati o stvarima koje vam se čine čudnim. Jer ste već dovoljno pitali i čini se da gubite vrijeme na zauzetih ljudi.
U početku njihov oglas nije imao broj telefona, pa sam bio primoran da ga tražim. Zatim su me uputili na Airbnb web stranicu i tražio sam link. Ali prvi put mi nisu dali, pa sam bio primoran da pitam ponovo. Sve je to bilo unaprijed isplanirano.
Tokom razgovora, takođe su spomenuli da su i drugi ljudi zainteresovani za njihov smeštaj, zadržavajući uverljiv osećaj ograničenog vremena kada moram da donesem odluku. Konačno, korištenje Airbnb-a kao phishing stranice bilo je pametno jer je stvorilo izgled posrednika od povjerenja. U početku sam bio jako zbunjen jer nisam mogao razumjeti kako planiraju ukrasti moje podatke. Da su jednostavno tražili podatke o banci ili kreditnoj kartici u početnoj fazi komunikacije, njihovu prevaru bi bilo lako otkriti i otkriti.
Kako se zaštititi od ovoga? Neki savjeti
Kada komunicirate sa strancima na mreži, uvijek provjerite porijeklo njihovih veza! Obično jednostavno klikanje na link ne šteti, ali u nekim slučajevima to je dovoljno. Nisam bio 100% siguran da se radi o phishing prevari sve dok nisam otkrio lažni Airbnb URL.
Imajte na umu da adrese e-pošte pošiljaoca mogu biti lažirane i imena domena možda neće odgovarati onome što izgledaju. Od koje ste primili email [email zaštićen], ne znači da vam je FBI poslao e-mail.
Potražite znakove da vas neko vodi za nos. Da li vas pokušavaju uvjeriti da su pravi ljudi koji razgovaraju s vama? Da li vas pokušavaju natjerati da djelujete brže?
Koristite više metoda da potvrdite svoj identitet. Prvo zvono za uzbunu bilo je da je prevarant navodno mogao komunicirati samo putem e-pošte. Ako neko ponudi komunikaciju na daljinu, dogovorite video poziv, pretražite i uporedite njihove linkedin, facebook itd. naloge.
Nadam se da ste uživali u pripremi.
Pratite našeg programera na Instagramu
izvor: www.habr.com