Duela gutxi (zorionez, arrakastarik gabeko) phishing-eraso baten biktima izan nintzen. Duela aste batzuk, Craigslist eta Zillow arakatzen ari nintzen: San Frantziskoko badiako toki bat alokatu nahi nuen.
Toki bateko argazki politak atentzioa eman zidan, eta jabeekin harremanetan jarri eta horri buruz gehiago jakin nahi nuen. Segurtasun profesional gisa dudan esperientzia izan arren, ez nintzen konturatu iruzurgileak harremanetan jartzen nindutela hirugarren mezu elektronikora arte! Jarraian xehetasunez kontatuko dizut eta kasua aztertuko dut pantaila-argazkiekin eta alarma-kanpaiekin batera.
Hau idazten dut ondo landutako phishing erasoak oso sinesgarriak izan daitezkeela adierazteko. Segurtasun espezialistek sarritan gomendatzen dute gramatikari eta diseinuari arreta jartzea phishingetik babesteko: iruzurgileek hizkuntzaren ezagutza eskasa omen dute eta diseinu bisualarekiko jarrera arduragabea dute. Zenbait kasutan honek benetan funtzionatzen du, baina nire kasuan ez zuen funtzionatu. Iruzurgile sofistikatuenek hizkuntza onean idazten dute eta idatzizko eta idatzi gabeko arau guztiak betetzearen ilusioa sortzen dute, biktimaren itxaropenak bete nahian.
Lehen letrak: oro har, ez da ezer kezkatu
Craiglist-eko iragarkiak interesa zuen edonori deitzeko esan zion. Hala ere, telefono zenbakia bera ez zegoen. Gaigabekeria bat zela uste nuen, iragarki askok gauza bera egiten baitute. Orduan erabaki nuen jabeari idaztea eta bere zenbakia eskatzea, eta nirea ere esatea.
Erantzun gisa, berarekin harremanetan jar naitekeela idatzi zuen posta elektronikoz: [posta elektroniko bidez babestua]. Pentsa liteke hori bakarrik arraroa iruditu behar zitzaidala. Hala ere, horrelako baliabideetan etxebizitza bilatzea askotan arazo batzuekin lotzen da telefono-zenbakiekin, postontziekin eta konponbide bitxiekin. Beraz, mezu elektroniko bat idatzi dut eta erantzun hau jaso dut:
Etxeko jabeak galdera tipikoak egiten ditu: "Noiz bizitzeko asmoa duzu?", "Zenbat jende biziko da zurekin?", "Zein da zure urteko diru-sarrera?"
Eta orduan ez nintzen konturatu iruzurgileekin komunikatzen ari nintzela
Jabeak esan zuen askotan etxetik kanpo egon ohi dela denbora luzez, eta orain bi urte osoz kanpoan egongo dela. Arraro samarra iruditu zitzaidan, baina bakoitzak bere egoerak ditu, ez dakizu inoiz. Gainera, hitz egin nuen lurjabe askok gauza bera esan zuten. Eta gutunean egindako galderak nahiko egokiak iruditu zitzaizkidan. Beraz, elkarrizketarekin jarraitu nuen eta erantzun nien.
Orduan gutun hau jaso nuen:
βHemen ez dut mugikor konexiorik, nire laneko ordenagailurako sarbidea daukat soilik. Posta elektroniko bidez komunikatzen jarraituko dugu, zuretzat ondo badago".
β3 pertsonek jabetza ikusi nahi dute. Ez dut denborarik zuetako bakoitzarekin elkartzeko. Esteka bat emango dizut... bertan zure lekua erreserbatu dezakezu (hilabeteko alokairua aldez aurretik gehi itzuli beharreko fidantza). Aurretik Airbnb erabili ez baduzu, nahiko erraza da...β
Hor hasi ziren iratzargailuak jotzen. Gutun hau jaso ondoren, dagoeneko ehuneko 80-90 ziur nengoen hauek iruzurgileak zirela
Lehenengo alarma-joina: βHemen ez daukat mugikor konexiorik, laneko ordenagailurako sarbidea daukat soilik. Posta elektroniko bidez komunikatzen jarraituko dugu, zuretzat ondo badago". Bigarrena, gure elkarrizketan Airbnb-en itxura arraroa da.
Zergatik nahi zuten Airbnb bidez ordaintzea?
Hirugarren abisu seinalea benetako pertsona bat dela baieztatzen duten argazki gehiegi dira. Baina identitatea faltsua ez bada, zergatik saiatu hainbeste ni horretaz konbentzitzen?
Hala ere, Airbnb-k benetan nahastu ninduen. Une honetan iruzurgileekin komunikatzen ari nintzela susmatzen hasi nintzen, baina, hala ere, ez nengoen ziur. Banekien haien iruzurrak ez zuela funtzionatuko Airbnb bidez erreserba eginez gero. Airbnb-k gatazkak konpontzeko prozedura oso finkatua du eta arrazoia dudala azkar frogatu dezaket eta dirua itzul dezaket.
Iragarkia lagun bati erakutsi nion eta esan zuen ez zela iruzurra. Apustu bat egin beharko genuke, azkenean arrazoia nuelako. Baina orduan iruzurra zen ala ez egiaztatzea erabaki nuen eta, beraz, Airbnb-rako esteka eskatu nuen.
Itxaroteko eskatu zidaten. Zer itxaron? Eta arrazoiren bategatik gomendatu zidaten Airbnb-en nire zerrenda aurkitzea. Hau ere nahiko arraroa zen, eta ez nion ezertarako baliorik ikusten. Ni iruzurra egiten saiatzen ari baziren, orduan Airbnb-n euren lekua erreserbatzeko eskatzea alferrikakoa zen.
Baina itxaron... Ezin izan dut aurkitu Airbnb-en. Eta gero berriro esteka eskatu nuen...
Igorri zuten. Benetakoa zirudien eta airbnb.com domeinua zuen. Baina hau ez zenez phishing-iruzurgileen nire lehen ehiza izan, gutunaren testu-bertsioan (URL Helmuga) benetako esteka helbidea egiaztatu nuen. Esan bezala, aurkitu bi desberdintasun:
Q.E.D!
Hau egia da. Hau phishing esteka bat da. Ikus dezagun.
Pantaila-argazki hau nire lehenengo ikerketaren ondoren egin zen, Chrome-k ez zuen denborarik izan URL hau arriskutsu gisa markatzeko. Phishing gunea ezin hobeto egina dago! Elkarreragilea da eta itxura sinesgarria da. Hori dela eta, erraz onartu dezaket URLaren jatorriaz zalantzan jartzen ez dutenak erraz erori daitezkeela iruzurgileengana.
Iritzi faltsu bikainak: 5/5. Jarraitu phishing, bikain ari zara!
Ez dut probatu Erreserba eskatzeko botoia, baina ziur nago phishing orri batera eramango nindutela txartelaren xehetasunak behar bezala lapurtu zituztela. Eskerrik asko, beste behin agian.
Zergatik nengoen hain harrituta?
Konpartsak βeta ziur nago talde bat zelaβ lan bikaina egin zuen xehetasun maila handiarekin. Euren ingelesa ezin hobea da, euren mezu elektronikoek profesionalak dirudite, phishing guneak Airbnb-en itxura dute. hibernia.ca-ra birbideratzeko ingeniariak-hibernia-chevron.ca helbidetik konfiguratzen da. Honek konfiantza sortuko du beren domeinua egiaztatu nahi dutenengan.
Are gehiago harritu nau haien trikimailu psikologiko sotilak. Nirekin elkarrekintzan egondako fase guztietan, argitu gabeko puntu bat utzi zuten, haiekin argitu behar nuena nire helburura aurrera jarraitzeko. Askoz errazagoa da zerbait gaizki dagoela sumatzea galderak egiten bazaizkizu. Eta zu bazara galderak egiten dituzuna, askoz zailagoa egiten zaizu arraroak iruditzen zaizkizun gauzei buruz galdetzen jarraitzea. Dagoeneko nahikoa eskatu duzulako eta badirudi denbora galtzen ari zarela lanpetuta dagoen jendearekin.
Hasieran, haien iragarkiak ez zuen telefono-zenbakirik, beraz, bat eskatzera behartu nuen. Orduan Airbnb webgunera zuzendu ninduten eta esteka bat eskatu nuen. Baina lehen aldian ez zuten eman, beraz, berriro galdetzera behartuta egon nintzen. Hori guztia aldez aurretik aurreikusita zegoen.
Elkarrizketan, beste pertsona batzuk ere euren etxebizitzan interesatzen zitzaizkiola ere aipatu zuten, erabaki bat hartu behar nuen denbora mugatuaren zentzu sinesgarria mantenduz. Azkenik, Airbnb phishing gune gisa erabiltzea adimentsua izan zen, bitartekari fidagarri baten itxura sortzen zuelako. Hasieran oso nahastuta nengoen, ezin nuelako ulertu nire datuak nola lapurtzeko asmoa zuten. Komunikazioaren hasierako fasean banku- edo kreditu-txartelen informazioa eskatu izan balute, haien iruzurra erraza izango zen hautematea eta deskubritzea.
Nola babestu zure burua honetatik? Aholku batzuk
Ezezagunekin sarean komunikatzen zarenean, egiaztatu beti haien esteken jatorria! Normalean esteka batean klik egiteak ez du kalterik egiten, baina kasu batzuetan nahikoa da. Ez nengoen % 100 ziur phishing iruzurra zenik Airbnb URL faltsua aurkitu nuen arte.
ΠΠΎΠΌΠ½ΠΈΡΠ΅, ΡΡΠΎ Π°Π΄ΡΠ΅ΡΠ° ΡΠ»Π΅ΠΊΡΡΠΎΠ½Π½ΠΎΠΉ ΠΏΠΎΡΡΡ ΠΎΡΠΏΡΠ°Π²ΠΈΡΠ΅Π»Ρ ΠΌΠΎΠ³ΡΡ Π±ΡΡΡ ΠΏΠΎΠ΄Π΄Π΅Π»Π°Π½Ρ, Π° Π΄ΠΎΠΌΠ΅Π½Π½ΡΠ΅ ΠΈΠΌΠ΅Π½Π° ΠΌΠΎΠ³ΡΡ Π½Π΅ ΡΠΎΠ²ΠΏΠ°Π΄Π°ΡΡ Ρ ΠΈΡ ΠΎΡΠΎΠ±ΡΠ°ΠΆΠ΅Π½ΠΈΠ΅ΠΌ. Π’ΠΎ, ΡΡΠΎ Π²Ρ ΠΏΠΎΠ»ΡΡΠΈΠ»ΠΈ ΡΠ»Π΅ΠΊΡΡΠΎΠ½Π½ΠΎΠ΅ ΠΏΠΈΡΡΠΌΠΎ ΠΎΡ [posta elektroniko bidez babestua], Π½Π΅ ΠΎΠ·Π½Π°ΡΠ°Π΅Ρ, ΡΡΠΎ ΡΠ»Π΅ΠΊΡΡΠΎΠ½Π½ΠΎΠ΅ ΠΏΠΈΡΡΠΌΠΎ Π²Π°ΠΌ ΠΎΡΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π€ΠΠ .
Bilatu norbait sudurretik eramaten zaituen seinale. Zurekin hizketan ari diren benetako pertsonak direla sinetsarazten saiatzen al dira? Azkarrago joka dezazun saiatzen al dira?
Erabili hainbat metodo zure identitatea egiaztatzeko. Lehenengo alarma-txirrina izan zen iruzurgileak ustez posta elektronikoz soilik komunika zezakeela. Norbaitek urrunetik komunikatzea eskaintzen badu, antolatu bideo-dei bat, bilatu eta konparatu bere linkedin, facebook eta abar kontuak.
Espero dut prestaketa gustatu izana.
Jarraitu gure garatzailea Instagramen
Iturria: www.habr.com