Ich wurde kürzlich Opfer eines (zum Glück erfolglosen) Phishing-Angriffs. Vor ein paar Wochen habe ich Craigslist und Zillow durchstöbert: Ich war auf der Suche nach einer Wohnung in der San Francisco Bay Area.
Schöne Fotos eines Ortes erregten meine Aufmerksamkeit und ich wollte mit den Vermietern Kontakt aufnehmen und mehr darüber erfahren. Trotz meiner Erfahrung als Sicherheitsexperte merkte ich erst in der dritten E-Mail, dass ich von Betrügern kontaktiert wurde! Im Folgenden erzähle und analysiere ich den Fall ausführlich, mit Screenshots und Alarmglocken.
Ich schreibe dies, um zu veranschaulichen, dass gut gestaltete Phishing-Angriffe sehr überzeugend sein können. Sicherheitsexperten empfehlen häufig, auf Grammatik und Design zu achten, um sich vor Phishing zu schützen: Betrüger verfügen angeblich über schlechte Sprachkenntnisse und einen nachlässigen Umgang mit der visuellen Gestaltung. In einigen Fällen funktioniert das tatsächlich, aber in meinem Fall hat es nicht funktioniert. Die raffiniertesten Betrüger schreiben in guter Sprache und erwecken die Illusion der Einhaltung aller geschriebenen und ungeschriebenen Regeln, um die Erwartungen des Opfers zu erfüllen.
Anfangsbuchstaben: Im Allgemeinen kein Grund zur Sorge
Die Anzeige auf Craiglist forderte alle Interessierten auf, anzurufen. Die Telefonnummer selbst war jedoch nicht vorhanden. Ich dachte, es sei ein Versehen, da viele Anzeigen dasselbe tun. Dann beschloss ich, dem Vermieter zu schreiben und ihn nach seiner Nummer zu fragen und mir auch meine zu nennen.
Als Antwort schrieb er, dass ich ihn per E-Mail kontaktieren könne: [E-Mail geschützt] . Man könnte meinen, dass mir das allein seltsam vorgekommen sein sollte. Allerdings ist die Wohnungssuche auf solchen Ressourcen oft mit einigen Problemen mit Telefonnummern, Postfächern und seltsamen Problemumgehungen verbunden. Also habe ich gerade eine E-Mail an diese E-Mail geschrieben und diese Antwort erhalten:
Der Vermieter stellt ganz typische Fragen: „Wann planen Sie einzuziehen?“, „Wie viele Personen werden bei Ihnen wohnen?“, „Wie hoch ist Ihr Jahreseinkommen?“
Und dann war mir nicht klar, dass ich mit Betrügern kommunizierte
Der Vermieter sagte, dass er oft für längere Zeit von zu Hause weg sei und jetzt werde er ganze zwei Jahre weg sein. Ich fand es etwas seltsam, aber jeder hat seine eigenen Umstände, man weiß nie. Darüber hinaus sagten viele Vermieter, mit denen ich gesprochen habe, dasselbe. Und die mir in dem Brief gestellten Fragen schienen durchaus angemessen. Also setzte ich das Gespräch fort und antwortete ihnen.
Dann erhielt ich diesen Brief:
„Ich habe hier keine Mobilfunkverbindung, sondern nur Zugriff auf meinen Arbeitscomputer. Wir werden weiterhin per E-Mail kommunizieren, wenn das für Sie in Ordnung ist.“
„3 Personen wollen die Immobilie besichtigen. Ich habe nicht die Zeit, jeden von euch zu treffen. Ich gebe dir einen Link... dort kannst du deinen Platz reservieren (1 Monatsmiete im Voraus plus rückzahlbare Anzahlung). Wenn Sie Airbnb noch nicht genutzt haben, ist es ganz einfach ...“
Hier begannen die Alarmglocken zu läuten. Nachdem ich diesen Brief erhalten hatte, war ich mir bereits zu 80–90 Prozent sicher, dass es sich um Betrüger handelte
Der erste Alarmton: „Ich habe hier keine Mobilfunkverbindung, ich habe nur Zugriff auf meinen Arbeitscomputer.“ Wir werden weiterhin per E-Mail kommunizieren, wenn das für Sie in Ordnung ist.“ Das zweite ist der seltsame Auftritt von Airbnb in unserem Gespräch.
Warum wollten sie, dass ich über Airbnb bezahle?
Das dritte Warnzeichen sind zu viele Fotos, die bestätigen, dass es sich um eine echte Person handelt. Aber wenn die Identität nicht gefälscht ist, warum sollte man sich dann so sehr bemühen, mich davon zu überzeugen?
Allerdings hat mich Airbnb wirklich verwirrt. Zu diesem Zeitpunkt begann ich stark zu vermuten, dass ich mit Betrügern kommunizierte, war mir aber immer noch nicht sicher. Ich wusste, dass ihr Betrug nicht funktionieren würde, wenn ich über Airbnb buchen würde. Airbnb verfügt über ein etabliertes Streitbeilegungsverfahren und ich kann schnell beweisen, dass ich Recht habe und mein Geld zurückbekomme.
Ich habe die Anzeige einem Freund gezeigt und er sagte, es sei kein Betrug. Wir hätten eine Wette abschließen sollen, denn am Ende hatte ich Recht. Dann habe ich mich aber entschlossen zu prüfen, ob es sich um einen Betrug handelte oder nicht und habe deshalb trotzdem nach einem Link zu Airbnb gefragt.
Sie baten mich zu warten. Worauf warten? Und aus irgendeinem Grund rieten sie mir, ihr Inserat selbst auf Airbnb zu finden. Das war auch ziemlich seltsam und ich sah keinen Sinn darin. Wenn sie versuchten, mich zu betrügen, war es sinnlos, mich zu bitten, ihre Unterkunft auf Airbnb zu buchen.
Aber warte... Ich konnte es auf Airbnb nicht finden. Und dann habe ich noch einmal nach dem Link gefragt...
Sie haben es geschickt. Es sah echt aus und hatte die Domain airbnb.com. Da dies jedoch nicht meine erste Jagd nach Phishing-Betrügern war, habe ich die tatsächliche Linkadresse in der Textversion des Briefes überprüft (URL-Ziel). Wie sie sagen, finden Sie zwei Unterschiede:
Was war erforderlich, um zu beweisen!
So ist das. Dies ist ein Phishing-Link. Werfen wir einen Blick darauf.
Dieser Screenshot wurde einige Tage nach meiner ersten Untersuchung aufgenommen, als Chrome keine Zeit hatte, diese URL als gefährlich zu markieren. Die Phishing-Seite ist einfach perfekt gemacht! Es ist interaktiv und sieht überzeugend aus. Daher kann ich ohne weiteres zugeben, dass diejenigen, die nicht an der Herkunft der URL zweifeln, leicht auf Betrüger hereinfallen können.
Tolle gefälschte Bewertungen: 5/5. Machen Sie weiter mit dem Phishing, das machen Sie großartig!
Ich habe die Schaltfläche „Buchung anfordern“ nicht getestet, bin mir aber sicher, dass sie mich auf eine Phishing-Seite geführt hätte, auf der meine Kartendaten erfolgreich gestohlen worden wären. Danke, vielleicht ein anderes Mal.
Warum war ich so beeindruckt?
Das Betrügerteam – und ich bin sicher, dass es ein Team war – hat mit einem hohen Detaillierungsgrad großartige Arbeit geleistet. Ihr Englisch ist perfekt, ihre E-Mails sehen professionell aus, ihre Phishing-Seite sieht aus wie Airbnb. Eine Weiterleitung zu hibernia.ca wird von der Adresse Engineers-hibernia-chevron.ca aus konfiguriert. Dadurch wird Vertrauen bei denjenigen aufgebaut, die ihre Domain überprüfen möchten.
Noch mehr beeindrucken mich ihre subtilen psychologischen Tricks. In jeder Phase der Interaktion mit mir hinterließen sie einen unklaren Punkt, den ich mit ihnen klären musste, um meinem Ziel näher zu kommen. Es ist viel einfacher zu spüren, dass etwas nicht stimmt, wenn Ihnen Fragen gestellt werden. Und wenn Sie derjenige sind, der die Fragen stellt, wird es viel schwieriger, ihnen weiterhin Dinge zu stellen, die Ihnen seltsam erscheinen. Weil Sie bereits genug gefragt haben und den Eindruck erwecken, dass Sie Zeit mit vielbeschäftigten Leuten verschwenden.
In der Anzeige war zunächst keine Telefonnummer angegeben, sodass ich gezwungen war, nach einer zu fragen. Sie verwiesen mich dann auf die Airbnb-Website und ich fragte nach einem Link. Aber beim ersten Mal gaben sie es nicht, also musste ich noch einmal nachfragen. All dies war im Voraus geplant.
Während des Gesprächs erwähnten sie auch, dass auch andere Menschen an ihrer Unterkunft interessiert seien, und behielten das plausible Gefühl bei, dass die Zeit begrenzt sei, als ich eine Entscheidung treffen musste. Schließlich war die Verwendung von Airbnb als Phishing-Site klug, da dadurch der Anschein eines vertrauenswürdigen Vermittlers erweckt wurde. Zuerst war ich wirklich verwirrt, weil ich nicht verstehen konnte, wie sie meine Daten stehlen wollten. Hätten sie in der ersten Phase der Kommunikation lediglich nach Bank- oder Kreditkarteninformationen gefragt, wäre ihre Betrugsmasche leicht zu erkennen und aufzudecken gewesen.
Wie kann man sich davor schützen? Einige Hinweise
Überprüfen Sie bei der Online-Kommunikation mit Fremden immer die Herkunft der Links! Normalerweise schadet es nicht, einfach auf einen Link zu klicken, in manchen Fällen reicht es jedoch aus. Ich war mir nicht hundertprozentig sicher, dass es sich um einen Phishing-Betrug handelte, bis ich die gefälschte Airbnb-URL entdeckte.
Помните, что адреса электронной почты отправителя могут быть подделаны, а доменные имена могут не совпадать с их отображением. То, что вы получили электронное письмо от [E-Mail geschützt] , не означает, что электронное письмо вам отправило ФБР.
Achten Sie auf Anzeichen dafür, dass Sie jemand an der Nase herumführt. Versuchen sie, Sie davon zu überzeugen, dass es sich um echte Menschen handelt, die mit Ihnen sprechen? Versuchen sie, Sie dazu zu bringen, schneller zu handeln?
Verwenden Sie mehrere Methoden, um Ihre Identität zu überprüfen. Die erste Alarmglocke war, dass der Betrüger angeblich nur per E-Mail kommunizieren konnte. Wenn jemand anbietet, aus der Ferne zu kommunizieren, vereinbaren Sie einen Videoanruf, suchen und vergleichen Sie seine LinkedIn-, Facebook- usw. Konten.
Ich hoffe, die Vorbereitung hat Ihnen gefallen.
Folgen Sie unserem Entwickler auf Instagram
Source: habr.com