Recentment vaig ser víctima d'un atac de pesca (afortunadament sense èxit). Fa unes setmanes, estava navegant per Craigslist i Zillow: buscava llogar un lloc a la zona de la badia de San Francisco.
Em van cridar l'atenció les fotos boniques d'un lloc i volia contactar amb els propietaris i saber-ne més. Malgrat la meva experiència com a professional de la seguretat, no em vaig adonar que els estafadors em contactaven fins al tercer correu electrònic! A continuació us explicaré detalladament i analitzaré el cas juntament amb captures de pantalla i campanes d'alarma.
Escric això per il·lustrar que els atacs de pesca ben dissenyats poden ser molt convincents. Els especialistes en seguretat sovint recomanen prestar atenció a la gramàtica i al disseny per protegir-se de la pesca: presumptament, els estafadors tenen un coneixement deficient de l'idioma i una actitud descuidada envers el disseny visual. En alguns casos això funciona realment, però en el meu cas no va funcionar. Els estafadors més sofisticats escriuen en un bon llenguatge i creen la il·lusió de complir totes les normes escrites i no escrites, intentant satisfer les expectatives de la víctima.
Primeres lletres: generalment res de què preocupar-se
L'anunci de Craiglist deia a qualsevol interessat que truqués. Tanmateix, el número de telèfon en si no hi era. Vaig pensar que era un descuit, ja que molts anuncis fan el mateix. Aleshores vaig decidir escriure al propietari i demanar-li el seu número, i també dir-me el meu.
En resposta, va escriure que podia contactar amb ell per correu electrònic: [protegit per correu electrònic]. Podríeu pensar que això només m'hauria d'haver semblat estrany. Tanmateix, la recerca d'habitatge amb aquests recursos sovint s'associa amb alguns problemes amb números de telèfon, bústies de correu i solucions estranyes. Així que només he escrit un correu electrònic a aquest correu electrònic i he rebut aquesta resposta:
El propietari fa preguntes bastant típiques: "Quan penseu a viure?", "Quanta gent viurà amb vosaltres?", "Quin és el vostre ingressos anual?"
I llavors no em vaig adonar que m'estava comunicant amb estafadors
El propietari va dir que sovint està fora de casa durant llargs períodes de temps, i ara estarà fora durant dos anys sencers. Vaig pensar que era una mica estrany, però cadascú té les seves pròpies circumstàncies, mai se sap. A més, molts propietaris amb qui vaig parlar van dir el mateix. I les preguntes que em van fer a la carta em van semblar força adequades. Així que vaig continuar la conversa i els vaig respondre.
Llavors vaig rebre aquesta carta:
“Aquí no tinc connexió mòbil, només tinc accés al meu ordinador de treball. Continuarem comunicant-nos per correu electrònic si us convé".
“3 persones volen veure la propietat. No tinc temps per reunir-me amb cadascun de vosaltres. Et passo un enllaç... allà pots reservar la teva plaça (1 mes de lloguer per avançat més un dipòsit reemborsable). Si no has fet servir Airbnb abans, és bastant fàcil...”
Aquí és on van començar a sonar les alarmes. Després d'haver rebut aquesta carta, ja estava segur entre un 80 i un 90 per cent que es tractava d'estafadors
El primer timbre d'alarma: “Aquí no tinc connexió mòbil, només tinc accés a l'ordinador de la feina. Continuarem comunicant-nos per correu electrònic si us convé". El segon és l'estranya aparició d'Airbnb a la nostra conversa.
Per què volien que pagués a través d'Airbnb?
El tercer senyal d'advertència són massa fotografies que confirmen que es tracta d'una persona real. Però si la identitat no és falsa, per què s'esforça tant per convèncer-me d'això?
Tanmateix, Airbnb em va confondre molt. En aquest moment vaig començar a sospitar fermament que m'estava comunicant amb estafadors, però tot i així, no n'estava segur. Sabia que la seva estafa no funcionaria si fes la reserva a través d'Airbnb. Airbnb té un procediment de resolució de disputes ben establert i puc demostrar ràpidament que tinc raó i recuperar els meus diners.
Vaig mostrar l'anunci a un amic i em va dir que no era una estafa. Hauríem d'haver fet una aposta perquè al final tenia raó. Però aleshores vaig decidir comprovar si era una estafa o no i, per tant, encara vaig demanar un enllaç a Airbnb.
Em van demanar que esperés. Esperar a què? I per alguna raó em van aconsellar que trobés jo mateix la seva fitxa a Airbnb. Això també era força estrany, i no hi vaig veure cap sentit. Si intentaven estafar-me, demanar-me que reservi el seu lloc a Airbnb no tenia sentit.
Però espera... No el vaig trobar a Airbnb. I després vaig tornar a demanar l'enllaç...
El van enviar. Semblava real i tenia el domini airbnb.com. Però com que aquesta no era la meva primera recerca d'estafadors de pesca, vaig comprovar l'adreça de l'enllaç real a la versió de text de la carta (URL de destinació). Com diuen, troba dues diferències:
Q.E.D!
Això és cert. Aquest és un enllaç de pesca. Fem una ullada.
Aquesta captura de pantalla es va fer uns dies després de la meva primera investigació, quan Chrome no va tenir temps de marcar aquest URL com a perillós. El lloc de pesca està fet perfectament! És interactiu i sembla convincent. Per tant, puc admetre fàcilment que aquells que no dubten de l'origen de l'URL poden enamorar fàcilment els estafadors.
Grans comentaris falsos: 5/5. Segueix fent pesca, ho estàs fent molt bé!
No he provat el botó Sol·licitar la reserva, però estic segur que m'hauria portat a una pàgina de pesca on les dades de la meva targeta s'haurien robat correctament. Gràcies, potser una altra vegada.
Per què em va impressionar tant?
L'equip estafador -i estic segur que era un equip- va fer una gran feina amb un alt nivell de detall. El seu anglès és perfecte, els seus correus electrònics semblen professionals, el seu lloc de pesca sembla Airbnb. Es configura una redirecció a hibernia.ca des de l'adreça engineers-hibernia-chevron.ca. Això generarà confiança en aquells que vulguin comprovar el seu domini.
Encara estic més impressionat pels seus subtils trucs psicològics. En cada etapa d'interacció amb mi, van deixar un punt poc clar, que vaig haver d'aclarir amb ells per avançar encara més cap al meu objectiu. És molt més fàcil sentir que alguna cosa no funciona si et fan les preguntes. I si ets tu qui fas les preguntes, es fa molt més difícil seguir preguntant-les sobre coses que et semblen estranyes. Perquè ja has demanat prou i sembla que estàs perdent el temps amb gent ocupada.
Al principi, el seu anunci no tenia un número de telèfon, així que em vaig veure obligat a demanar-ne un. Després em van dirigir al lloc web d'Airbnb i vaig demanar un enllaç. Però la primera vegada no la van donar, així que em vaig veure obligat a demanar-ho de nou. Tot això estava previst per endavant.
Durant la conversa, també van esmentar que altres persones també estaven interessades pel seu habitatge, mantenint una sensació plausible de temps limitat quan havia de prendre una decisió. Finalment, utilitzar Airbnb com a lloc de pesca va ser intel·ligent perquè creava l'aspecte d'un intermediari de confiança. Al principi estava molt confós perquè no podia entendre com pensaven robar les meves dades. Si simplement haguessin demanat informació bancària o de targeta de crèdit en l'etapa inicial de la comunicació, la seva estafa hauria estat fàcil de detectar i descobrir.
Com protegir-se d'això? Uns quants consells
Quan us comuniqueu amb desconeguts en línia, comproveu sempre l'origen dels seus enllaços! Normalment només fer clic en un enllaç no fa cap mal, però en alguns casos és suficient. No estava 100% segur que fos una estafa de pesca fins que vaig descobrir l'URL d'Airbnb fals.
Tingueu en compte que les adreces de correu electrònic del remitent poden ser falsificades i que els noms de domini poden no coincidir amb el que semblen. De la qual has rebut un correu electrònic [protegit per correu electrònic], no vol dir que l'FBI t'hagi enviat el correu electrònic.
Busca indicis que algú t'està portant pel nas. Estan intentant convèncer-te que són persones reals que parlen amb tu? Estan intentant fer-te actuar més ràpid?
Utilitzeu diversos mètodes per verificar la vostra identitat. El primer timbre d'alarma va ser que suposadament l'estafador només podia comunicar-se per correu electrònic. Si algú s'ofereix a comunicar-se a distància, organitza una videotrucada, cerca i compara els seus comptes de linkedin, facebook, etc.
Espero que us hagi agradat la preparació.
Segueix el nostre desenvolupador a Instagram
Font: www.habr.com