Jeg er for nylig blevet offer for et (heldigvis mislykket) phishing-angreb. For et par uger siden søgte jeg Craigslist og Zillow: Jeg ledte efter at leje et sted i San Francisco Bay Area.
Flotte billeder af et sted fangede min opmærksomhed, og jeg ville kontakte udlejerne og høre mere om det. På trods af min erfaring som sikkerhedsprofessionel var jeg ikke klar over, at jeg blev kontaktet af svindlere før den tredje e-mail! Nedenfor vil jeg fortælle dig i detaljer og analysere sagen sammen med skærmbilleder og alarmklokker.
Jeg skriver dette for at illustrere, at veludviklede phishing-angreb kan være meget overbevisende. Sikkerhedsspecialister anbefaler ofte at være opmærksom på grammatik og design for at beskytte dig selv mod phishing: svindlere har angiveligt dårligt kendskab til sproget og en skødesløs holdning til visuelt design. I nogle tilfælde virker dette faktisk, men i mit tilfælde virkede det ikke. De mest sofistikerede svindlere skriver i et godt sprog og skaber illusionen om overholdelse af alle skrevne og uskrevne regler og forsøger at imødekomme ofrets forventninger.
Første bogstaver: generelt ikke noget at bekymre sig om
Annoncen på craiglist fortalte alle interesserede at ringe. Selve telefonnummeret var der dog ikke. Jeg troede, det var en forglemmelse, da mange annoncer gør det samme. Så besluttede jeg at skrive til udlejeren og bede ham om hans nummer, og også fortælle mig mit.
Som svar skrev han, at jeg kunne kontakte ham via e-mail: [e-mail beskyttet]. Du tror måske, at dette alene burde have virket mærkeligt for mig. At søge efter bolig på sådanne ressourcer er dog ofte forbundet med nogle problemer med telefonnumre, postkasser og mærkelige løsninger. Så jeg skrev lige en e-mail til denne e-mail og modtog dette svar:
Udlejeren stiller ganske typiske spørgsmål: "Hvornår planlægger du at flytte ind?", "Hvor mange mennesker skal bo hos dig?", "Hvad er din årlige indkomst?"
Og så var jeg ikke klar over, at jeg kommunikerede med svindlere
Udlejeren fortalte, at han ofte er væk hjemmefra i længere tid, og nu skal han være væk i hele to år. Jeg syntes, det var lidt mærkeligt, men alle har deres egne omstændigheder, man ved aldrig. Desuden sagde mange udlejere, som jeg talte med, det samme. Og de spørgsmål, der blev stillet til mig i brevet, virkede ganske passende. Så jeg fortsatte samtalen og svarede dem.
Så modtog jeg dette brev:
”Jeg har ikke en mobilforbindelse her, jeg har kun adgang til min arbejdscomputer. Vi vil fortsætte med at kommunikere via e-mail, hvis det er ok for dig."
„3 personer vil gerne se ejendommen. Jeg har ikke tid til at mødes med hver af jer. Jeg giver dig et link... der kan du reservere din plads (1 måneds leje forud plus et refunderbart depositum). Hvis du ikke har brugt Airbnb før, er det ret nemt...”
Det var her, alarmklokkerne begyndte at ringe. Efter at have modtaget dette brev, var jeg allerede 80-90 procent sikker på, at der var tale om svindlere
Den første alarmklokke: ”Jeg har ikke mobilforbindelse her, jeg har kun adgang til min arbejdscomputer. Vi vil fortsætte med at kommunikere via e-mail, hvis det er ok for dig." Det andet er Airbnbs mærkelige udseende i vores samtale.
Hvorfor ville de have mig til at betale via Airbnb?
Det tredje advarselstegn er for mange fotografier, der bekræfter, at der er tale om en rigtig person. Men hvis identiteten ikke er falsk, hvorfor så prøve så hårdt på at overbevise mig om det?
Men Airbnb forvirrede mig virkelig. På dette tidspunkt begyndte jeg at have en stærk mistanke om, at jeg kommunikerede med svindlere, men jeg var stadig ikke sikker. Jeg vidste, at deres fidus ikke ville virke, hvis jeg reserverede gennem Airbnb. Airbnb har en veletableret tvistbilæggelsesprocedure, og jeg kan hurtigt bevise, at jeg har ret og få mine penge tilbage.
Jeg viste annoncen til en ven, og han sagde, at det ikke var et fupnummer. Vi burde have lavet et væddemål, for i sidste ende havde jeg ret. Men så besluttede jeg at tjekke, om det var svindel eller ej, og bad derfor stadig om et link til Airbnb.
De bad mig vente. Vent på hvad? Og af en eller anden grund rådede de mig til selv at finde deres opslag på Airbnb. Dette var også ret mærkeligt, og jeg så ingen mening i det. Hvis de forsøgte at snyde mig, så var det meningsløst at bede mig om at bestille deres plads på Airbnb.
Men vent... jeg kunne ikke finde det på Airbnb. Og så bad jeg om linket igen...
De sendte den. Det så ægte ud og havde domænet airbnb.com. Men da dette ikke var min første jagt på phishing-svindlere, tjekkede jeg den rigtige linkadresse i tekstversionen af brevet (URL-destination). Som de siger, find to forskelle:
Q.E.D!
Det er rigtigt. Dette er et phishing-link. Lad os tage et kig.
Dette skærmbillede blev taget et par dage efter min første undersøgelse, da Chrome ikke havde tid til at markere denne webadresse som farlig. Phishing-siden er lavet helt perfekt! Det er interaktivt og ser overbevisende ud. Derfor kan jeg sagtens indrømme, at de, der ikke tvivler på URL'ens oprindelse, nemt kan falde for svindlere.
Fantastiske falske anmeldelser: 5/5. Fortsæt med at phishing, du gør det godt!
Jeg har ikke testet knappen Request to Book, men jeg er sikker på, at den ville have ført mig til en phishing-side, hvor mine kortoplysninger ville være blevet stjålet. Tak, måske en anden gang.
Hvorfor var jeg så imponeret?
Con-teamet - og jeg er sikker på, at det var et hold - gjorde et godt stykke arbejde med et højt detaljeringsniveau. Deres engelsk er perfekt, deres e-mails ser professionelle ud, deres phishing-side ligner Airbnb. En omdirigering til hibernia.ca konfigureres fra adressen engineers-hibernia-chevron.ca. Dette vil skabe tillid til dem, der ønsker at tjekke deres domæne.
Jeg er endnu mere imponeret over deres subtile psykologiske tricks. På hvert trin i interaktionen med mig efterlod de et uklart punkt, som jeg var nødt til at afklare med dem for at komme videre mod mit mål. Det er meget nemmere at fornemme, at der er noget galt, hvis spørgsmålene bliver stillet til dig. Og hvis det er dig, der stiller spørgsmålene, bliver det meget sværere at blive ved med at spørge dem om ting, der virker mærkelige for dig. Fordi du allerede har spurgt nok og ser ud til at spilde tid fra travle mennesker.
I starten havde deres annonce ikke et telefonnummer, så jeg var tvunget til at bede om et. De dirigerede mig derefter til Airbnbs hjemmeside, og jeg bad om et link. Men første gang gav de det ikke, så jeg var tvunget til at spørge igen. Alt dette var planlagt på forhånd.
Under samtalen nævnte de også, at andre mennesker også var interesserede i deres bolig, og bevarede en plausibel følelse af begrænset tid, når jeg skulle træffe en beslutning. Endelig var det smart at bruge Airbnb som et phishing-sted, fordi det skabte udseendet af en betroet mellemmand. Først var jeg virkelig forvirret, fordi jeg ikke kunne forstå, hvordan de planlagde at stjæle mine data. Hvis de blot havde bedt om bank- eller kreditkortoplysninger i den indledende fase af kommunikationen, ville deres fidus have været let at opdage og afdække.
Hvordan beskytter man sig selv mod dette? Et par tips
Når du kommunikerer med fremmede online, skal du altid kontrollere oprindelsen af deres links! Normalt skader det ikke at klikke på et link, men i nogle tilfælde er det nok. Jeg var ikke 100 % sikker på, at det var en phishing-fidus, før jeg opdagede den falske Airbnb-URL.
Vær opmærksom på, at afsenderens e-mailadresser kan være forfalskede, og at domænenavne muligvis ikke matcher, hvad de ser ud til at være. som du har modtaget en mail fra [e-mail beskyttet], betyder ikke, at FBI har sendt dig e-mailen.
Se efter tegn på, at nogen fører dig ved næsen. Forsøger de at overbevise dig om, at de er rigtige mennesker, der taler til dig? Forsøger de at få dig til at handle hurtigere?
Brug flere metoder til at bekræfte din identitet. Den første alarmklokke var, at svindleren angiveligt kun kunne kommunikere via e-mail. Hvis nogen tilbyder at kommunikere eksternt, arrangere et videoopkald, søg og sammenlign deres linkedin, facebook osv. konti.
Jeg håber du nød forberedelsen.
Følg vores udvikler på Instagram
Kilde: www.habr.com