Nedávno jsem se stal obětí (naštěstí neúspěšného) phishingového útoku. Před pár týdny jsem procházel Craigslist a Zillow: Hledal jsem si pronajmout místo v oblasti San Francisco Bay Area.
Pěkné fotky místa mě zaujaly a chtěl jsem kontaktovat pronajímatele a zjistit o něm více. Navzdory své zkušenosti bezpečnostního profesionála jsem si až do třetího emailu neuvědomil, že mě kontaktují podvodníci! Níže vám řeknu podrobně a analyzuji případ spolu se snímky obrazovky a poplašnými zvonky.
Píšu to proto, abych ilustroval, že dobře vytvořené phishingové útoky mohou být velmi přesvědčivé. Bezpečnostní specialisté často doporučují věnovat pozornost gramatice a designu, abyste se ochránili před phishingem: podvodníci mají údajně špatnou znalost jazyka a nedbalý přístup k vizuálnímu designu. V některých případech to skutečně funguje, ale v mém případě to nefungovalo. Nejsofistikovanější podvodníci píší dobrým jazykem a vytvářejí iluzi dodržování všech psaných i nepsaných pravidel a snaží se naplnit očekávání oběti.
První písmena: obecně se není čeho bát
Inzerát na craiglist říkal, že kdo má zájem, ať zavolá. Samotné telefonní číslo tam však nebylo. Myslel jsem, že to bylo přehlédnutí, protože mnoho reklam dělá totéž. Pak jsem se rozhodl napsat pronajímateli a požádat ho o jeho číslo a také mi říct moje.
V odpovědi mi napsal, že ho mohu kontaktovat e-mailem: [chráněno e-mailem]. Možná si myslíte, že tohle samo o sobě mi mělo připadat divné. Hledání bydlení na takových zdrojích je však často spojeno s určitými problémy s telefonními čísly, poštovními schránkami a podivnými řešeními. Napsal jsem tedy e-mail na tento e-mail a obdržel jsem tuto odpověď:
Majitel bytu klade zcela typické otázky: "Kdy se plánujete nastěhovat?", "Kolik lidí s vámi bude bydlet?", "Jaký je váš roční příjem?"
A pak jsem si neuvědomil, že komunikuji s podvodníky
Majitel řekl, že je často na dlouhou dobu mimo domov a nyní bude pryč celé dva roky. Myslel jsem, že je to trochu zvláštní, ale každý má své vlastní okolnosti, člověk nikdy neví. Navíc mnoho pronajímatelů, se kterými jsem mluvil, říkalo totéž. A otázky položené v dopise mi připadaly docela vhodné. Pokračoval jsem tedy v rozhovoru a odpověděl na ně.
Pak jsem dostal tento dopis:
„Nemám tady mobilní připojení, mám přístup jen ke svému pracovnímu počítači. Pokud to pro vás bude v pořádku, budeme i nadále komunikovat prostřednictvím e-mailu."
„3 lidé chtějí vidět nemovitost. Nemám čas se s každým z vás setkat. Dám vám odkaz... tam si můžete zarezervovat své místo (1 měsíční nájem předem plus vratná kauce). Pokud jste Airbnb ještě nepoužívali, je to docela snadné...”
Tady začaly zvonit poplašné zvony. Po obdržení tohoto dopisu jsem si byl již na 80-90 procent jistý, že se jedná o podvodníky
První budík: „Nemám tady mobilní připojení, mám přístup jen ke svému pracovnímu počítači. Pokud to pro vás bude v pořádku, budeme i nadále komunikovat prostřednictvím e-mailu." Druhým je podivný vzhled Airbnb v našem rozhovoru.
Proč chtěli, abych platil přes Airbnb?
Třetím varovným signálem je příliš mnoho fotografií potvrzujících, že se jedná o skutečnou osobu. Ale pokud identita není falešná, tak proč se mě o ní tak usilovně snažíte přesvědčit?
Airbnb mě však opravdu zmátlo. V tuto chvíli jsem začal mít silné podezření, že komunikuji s podvodníky, ale stále jsem si nebyl jistý. Věděl jsem, že jejich podvod by nefungoval, kdybych provedl rezervaci přes Airbnb. Airbnb má dobře zavedený postup řešení sporů a já mohu rychle dokázat, že mám pravdu a dostanu své peníze zpět.
Ukázal jsem inzerát kamarádovi a ten řekl, že to není podvod. Měli jsme se vsadit, protože jsem měl nakonec pravdu. Pak jsem se ale rozhodl zkontrolovat, zda se nejedná o podvod nebo ne, a proto jsem ještě požádal o odkaz na Airbnb.
Požádali mě, abych počkal. Čekat na co? A z nějakého důvodu mi doporučili, abych si jejich nabídku na Airbnb našel sám. To bylo také docela zvláštní a neviděl jsem v tom žádný smysl. Pokud se mě snažili podvést, pak bylo zbytečné žádat, abych si zarezervoval jejich místo na Airbnb.
Ale počkat... Na Airbnb jsem to nenašel. A pak jsem znovu požádal o odkaz...
Poslali to. Vypadal jako skutečný a měl doménu airbnb.com. Ale protože to nebyl můj první hon na phishingové podvodníky, zkontroloval jsem skutečnou adresu odkazu v textové verzi dopisu (URL Destination). Jak se říká, najděte dva rozdíly:
Q.E.D!
To je pravda. Toto je phishingový odkaz. Pojďme se podívat.
Tento snímek obrazovky byl pořízen několik dní po mém prvním vyšetřování, když Chrome neměl čas označit tuto adresu URL jako nebezpečnou. Phishingová stránka je vytvořena naprosto dokonale! Je interaktivní a vypadá přesvědčivě. Proto mohu snadno přiznat, že kdo nepochybuje o původu URL, může snadno propadnout podvodníkům.
Skvělé falešné recenze: 5/5. Pokračujte v phishingu, jde vám to skvěle!
Tlačítko Request to Book jsem netestoval, ale jsem si jistý, že by mě zavedlo na phishingovou stránku, kde by byly údaje o mé kartě úspěšně odcizeny. Díky, snad jindy.
Proč jsem byl tak ohromen?
Tým podvodníků – a jsem si jistý, že to byl tým – odvedl skvělou práci s vysokou úrovní detailů. Jejich angličtina je perfektní, jejich e-maily vypadají profesionálně, jejich phishingová stránka vypadá jako Airbnb. Přesměrování na hibernia.ca je nakonfigurováno z adresy engineers-hibernia-chevron.ca. To vybuduje důvěru v těch, kteří chtějí zkontrolovat svou doménu.
Ještě víc na mě zapůsobí jejich rafinované psychologické triky. V každé fázi interakce se mnou zanechali jeden nejasný bod, který jsem si s nimi musel ujasnit, abych se dále posouval ke svému cíli. Je mnohem snazší vycítit, že něco není v pořádku, pokud jsou otázky kladeny na vás. A pokud jste to vy, kdo klade otázky, je mnohem těžší se jich ptát na věci, které se vám zdají divné. Protože už jste toho požádali dost a zdá se, že ztrácíte čas od zaneprázdněných lidí.
Nejprve jejich inzerát neměl telefonní číslo, tak jsem byl nucen o něj požádat. Poté mě nasměrovali na web Airbnb a požádal jsem o odkaz. Ale poprvé to nedali, takže jsem byl nucen se zeptat znovu. To vše bylo předem naplánováno.
Během rozhovoru také zmínili, že o jejich bydlení mají zájem i další lidé, udržujíce si věrohodný pocit omezeného času, kdy se musím rozhodnout. A konečně, používání Airbnb jako phishingové stránky bylo chytré, protože vytvořilo zdání důvěryhodného zprostředkovatele. Nejprve jsem byl opravdu zmatený, protože jsem nemohl pochopit, jak plánují ukrást moje data. Pokud by v počáteční fázi komunikace jednoduše požádali o informace o bance nebo kreditní kartě, jejich podvod by bylo snadné odhalit a odhalit.
Jak se před tím chránit? Některé tipy
Při komunikaci s cizími lidmi online si vždy ověřte původ jejich odkazů! Obvykle pouhé kliknutí na odkaz neuškodí, ale v některých případech to stačí. Nebyl jsem si 100% jistý, že jde o phishingový podvod, dokud jsem neobjevil falešnou URL Airbnb.
Помните, что адреса электронной почты отправителя могут быть подделаны, а доменные имена могут не совпадать с их отображением. То, что вы получили электронное письмо от [chráněno e-mailem], не означает, что электронное письмо вам отправило ФБР.
Hledejte známky toho, že vás někdo vodí za nos. Snaží se vás přesvědčit, že jsou to skuteční lidé, kteří s vámi mluví? Snaží se vás přimět, abyste jednali rychleji?
K ověření identity použijte několik metod. Prvním alarmem bylo, že podvodník údajně mohl komunikovat pouze e-mailem. Pokud někdo nabízí komunikaci na dálku, domluvte si videohovor, vyhledejte a porovnejte svůj linkedin, facebook atd. účet.
Doufám, že se vám příprava líbila.
Sledujte našeho vývojáře na Instagramu
Zdroj: www.habr.com