Recientemente fui víctima de un ataque de phishing (afortunadamente fallido). Hace unas semanas, estaba navegando por Craigslist y Zillow: buscaba alquilar un lugar en el área de la Bahía de San Francisco.
Me llamaron la atención unas bonitas fotos de un lugar y quería contactar con los propietarios y saber más sobre él. A pesar de mi experiencia como profesional de seguridad, ¡no me di cuenta de que los estafadores me estaban contactando hasta el tercer correo electrónico! A continuación os contaré detalladamente y analizaré el caso junto con capturas de pantalla y señales de alarma.
Escribo esto para ilustrar que los ataques de phishing bien elaborados pueden resultar muy convincentes. Los especialistas en seguridad recomiendan a menudo prestar atención a la gramática y el diseño para protegerse del phishing: los estafadores supuestamente tienen poco conocimiento del idioma y una actitud descuidada hacia el diseño visual. En algunos casos esto realmente funciona, pero en mi caso no funcionó. Los estafadores más sofisticados escriben en buen lenguaje y crean la ilusión de cumplir con todas las reglas escritas y no escritas, tratando de cumplir con las expectativas de la víctima.
Primeras letras: generalmente no hay nada de qué preocuparse
El anuncio en Craiglist le decía a cualquiera que estuviera interesado que llamara. Sin embargo, el número de teléfono no estaba allí. Pensé que era un descuido, ya que muchos anuncios hacen lo mismo. Entonces decidí escribirle al casero y pedirle su número, y también decirme el mío.
En respuesta, escribió que podía contactarlo por correo electrónico: [email protected]. Se podría pensar que esto por sí solo debería haberme parecido extraño. Sin embargo, la búsqueda de vivienda con estos recursos a menudo se asocia con algunos problemas con números de teléfono, buzones de correo y soluciones extrañas. Entonces escribí un correo electrónico a este correo electrónico y recibí esta respuesta:
El propietario hace preguntas bastante típicas: "¿Cuándo piensa mudarse?", "¿Cuántas personas vivirán con usted?", "¿Cuáles son sus ingresos anuales?".
Y luego no me di cuenta de que me estaba comunicando con estafadores.
El propietario dijo que a menudo está fuera de casa durante largos períodos de tiempo y que ahora estará fuera durante dos años completos. Pensé que era un poco extraño, pero cada uno tiene sus propias circunstancias, nunca se sabe. Además, muchos propietarios con los que hablé dijeron lo mismo. Y las preguntas que me hicieron en la carta me parecieron bastante apropiadas. Entonces continué la conversación y les respondí.
Entonces recibí esta carta:
“Aquí no tengo conexión móvil, solo tengo acceso a la computadora de mi trabajo. Continuaremos comunicándonos por correo electrónico si le parece bien".
«Tres personas quieren ver la propiedad. No tengo tiempo para reunirme con cada uno de ustedes. Te paso un enlace... allí podrás reservar tu lugar (3 mes de alquiler por adelantado más un depósito reembolsable). Si no has usado Airbnb antes, es bastante fácil...”
Aquí es donde empezaron a sonar las alarmas. Después de recibir esta carta, ya estaba entre un 80 y un 90 por ciento seguro de que se trataba de estafadores.
La primera alarma: “Aquí no tengo conexión móvil, solo tengo acceso a mi ordenador del trabajo. Continuaremos comunicándonos por correo electrónico si le parece bien". El segundo es la extraña aparición de Airbnb en nuestra conversación.
¿Por qué querían que pagara a través de Airbnb?
La tercera señal de advertencia son demasiadas fotografías que confirman que se trata de una persona real. Pero si la identidad no es falsa, ¿por qué esforzarse tanto en convencerme de ello?
Sin embargo, Airbnb realmente me confundió. En ese momento comencé a sospechar fuertemente que me estaba comunicando con estafadores, pero aún así no estaba seguro. Sabía que su estafa no funcionaría si reservaba a través de Airbnb. Airbnb tiene un procedimiento de resolución de disputas bien establecido y puedo demostrar rápidamente que tengo razón y recuperar mi dinero.
Le mostré el anuncio a un amigo y me dijo que no era una estafa. Deberíamos haber hecho una apuesta porque al final acerté. Pero luego decidí comprobar si se trataba de una estafa o no y, por lo tanto, pedí un enlace a Airbnb.
Me pidieron que esperara. ¿Esperar para que? Y por alguna razón me aconsejaron que buscara yo mismo su anuncio en Airbnb. Esto también fue bastante extraño y no le encontré ningún sentido. Si intentaban estafarme, entonces pedirme que reservara su lugar en Airbnb no tenía sentido.
Pero espera... No pude encontrarlo en Airbnb. Y luego volví a pedir el enlace...
Lo enviaron. Parecía real y tenía el dominio airbnb.com. Pero como esta no era mi primera búsqueda de estafadores de phishing, verifiqué la dirección del enlace real en la versión de texto de la carta (URL de destino). Como dicen, encuentra dos diferencias:
¡Qué se requería para probar!
Esto es cierto. Este es un enlace de phishing. Echemos un vistazo.
Esta captura de pantalla se tomó unos días después de mi primera investigación, cuando Chrome no tuvo tiempo de marcar esta URL como peligrosa. ¡El sitio de phishing está hecho a la perfección! Es interactivo y parece convincente. Por lo tanto, puedo admitir fácilmente que aquellos que no dudan del origen de la URL pueden caer fácilmente en la trampa de los estafadores.
Grandes críticas falsas: 5/5. ¡Sigue haciendo phishing, lo estás haciendo genial!
No he probado el botón Solicitar reserva, pero estoy seguro de que me habría llevado a una página de phishing donde los datos de mi tarjeta habrían sido robados con éxito. Gracias, tal vez en otro momento.
¿Por qué me impresionó tanto?
El equipo de estafadores, y estoy seguro de que era un equipo, hizo un gran trabajo con un alto nivel de detalle. Su inglés es perfecto, sus correos electrónicos parecen profesionales y su sitio de phishing parece Airbnb. Se configura una redirección a hibernia.ca desde la dirección ingenieros-hibernia-chevron.ca. Esto generará confianza en aquellos que quieran comprobar su dominio.
Me impresionan aún más sus sutiles trucos psicológicos. En cada etapa de la interacción conmigo, dejaron un punto poco claro, que tuve que aclarar con ellos para poder avanzar hacia mi objetivo. Es mucho más fácil sentir que algo anda mal si las preguntas te las hacen a ti. Y si eres tú quien hace las preguntas, será mucho más difícil seguir preguntándoles sobre cosas que te parecen extrañas. Porque ya has pedido suficiente y parece que estás perdiendo el tiempo con gente ocupada.
Al principio, su anuncio no tenía un número de teléfono, así que me vi obligado a pedir uno. Luego me dirigieron al sitio web de Airbnb y pedí un enlace. Pero la primera vez no me lo dieron, así que me vi obligado a volver a preguntar. Todo esto fue planeado de antemano.
Durante la conversación, también mencionaron que otras personas también estaban interesadas en su vivienda, manteniendo una sensación plausible de que tenían un tiempo limitado para tomar una decisión. Por último, utilizar Airbnb como sitio de phishing fue inteligente porque creó la apariencia de un intermediario confiable. Al principio estaba realmente confundido porque no podía entender cómo planeaban robar mis datos. Si simplemente hubieran pedido información bancaria o de tarjeta de crédito en la etapa inicial de comunicación, su estafa habría sido fácil de detectar y descubrir.
¿Cómo protegerse de esto? Algunos consejos
Cuando te comuniques con extraños en línea, ¡comprueba siempre el origen de sus enlaces! Por lo general, simplemente hacer clic en un enlace no causa ningún daño, pero en algunos casos es suficiente. No estaba 100% seguro de que fuera una estafa de phishing hasta que descubrí la URL falsa de Airbnb.
Помните, что адреса электронной почты отправителя могут быть подделаны, а доменные имена могут не совпадать с их отображением. То, что вы получили электронное письмо от [email protected], не означает, что электронное письмо вам отправило ФБР.
Busque señales de que alguien le está tomando de la nariz. ¿Están tratando de convencerte de que son personas reales las que te hablan? ¿Están intentando que actúes más rápido?
Utilice múltiples métodos para verificar su identidad. La primera alarma fue que el estafador supuestamente sólo podía comunicarse por correo electrónico. Si alguien se ofrece a comunicarse a distancia, concertar una videollamada, buscar y comparar sus cuentas de linkedin, facebook, etc.
Espero que hayas disfrutado la preparación.
Sigue a nuestro desarrollador en Instagram
Fuente: habr.com