Nedavno sam postao žrtva (srećom neuspješnog) phishing napada. Prije nekoliko tjedana pregledavao sam Craigslist i Zillow: želio sam unajmiti mjesto u području zaljeva San Francisca.
Lijepe fotografije jednog mjesta privukle su mi pozornost, pa sam želio kontaktirati vlasnike i saznati više o tome. Unatoč mom iskustvu sigurnosnog stručnjaka, nisam shvatio da me kontaktiraju prevaranti sve do treće e-pošte! U nastavku ću vam detaljno ispričati i analizirati slučaj zajedno sa snimkama zaslona i alarmima.
Ovo pišem kako bih ilustrirao da dobro osmišljeni phishing napadi mogu biti vrlo uvjerljivi. Stručnjaci za sigurnost često preporučuju da obratite pozornost na gramatiku i dizajn kako biste se zaštitili od krađe identiteta: prevaranti navodno slabo poznaju jezik i nemaran stav prema vizualnom dizajnu. U nekim slučajevima to stvarno funkcionira, ali u mom slučaju nije uspjelo. Najsofisticiraniji prevaranti pišu dobrim jezikom i stvaraju iluziju poštivanja svih pisanih i nepisanih pravila, nastojeći ispuniti očekivanja žrtve.
Prva slova: općenito nema razloga za brigu
U oglasu na craiglistu rečeno je da svi zainteresirani nazovu. Međutim, samog broja telefona nije bilo. Mislio sam da je to propust, budući da mnogi oglasi rade istu stvar. Tada sam odlučio pisati stanodavcu i pitati ga za njegov broj, a također mi je rekao i svoj.
U odgovoru mi je napisao da ga mogu kontaktirati mailom: [e-pošta zaštićena]. Mogli biste pomisliti da mi je samo ovo trebalo biti čudno. Međutim, traženje smještaja na takvim resursima često je povezano s nekim problemima s telefonskim brojevima, poštanskim sandučićima i čudnim zaobilaznim rješenjima. Upravo sam napisao e-poruku na ovu e-poštu i dobio ovaj odgovor:
Stanodavac postavlja sasvim tipična pitanja: “Kada se planiraš useliti?”, “Koliko će ljudi živjeti s tobom?”, “Kolika su tvoja godišnja primanja?”
A tada nisam shvaćao da komuniciram s prevarantima
Stanodavac je rekao da ga često nema kod kuće na duže vrijeme, a sada će biti odsutan pune dvije godine. Mislio sam da je malo čudno, ali svatko ima svoje okolnosti, nikad se ne zna. Štoviše, mnogi iznajmljivači s kojima sam razgovarao rekli su isto. I pitanja koja su mi postavljena u pismu činila su se sasvim prikladnima. Pa sam nastavio razgovor i odgovorio im.
Tada sam dobio ovo pismo:
“Ovdje nemam mobilnu vezu, imam pristup samo svom radnom računalu. Nastavit ćemo komunicirati putem e-pošte ako vam to odgovara."
“3 osobe žele vidjeti nekretninu. Nemam vremena sastati se sa svakim od vas. Dat ću vam link... tamo možete rezervirati svoje mjesto (1 mjesečna najamnina unaprijed plus povratni polog). Ako do sada niste koristili Airbnb, vrlo je jednostavno...”
Tu su zvona za uzbunu počela zvoniti. Kad sam primio ovo pismo, već sam bio 80-90 posto siguran da se radi o prevarantima
Prvo zvono za uzbunu: “Ovdje nemam mobilnu vezu, imam pristup samo svom radnom računalu. Nastavit ćemo komunicirati putem e-pošte ako vam to odgovara." Drugo je čudno pojavljivanje Airbnba u našem razgovoru.
Zašto su htjeli da plaćam preko Airbnba?
Treći znak upozorenja je previše fotografija koje potvrđuju da se radi o stvarnoj osobi. Ali ako identitet nije lažan, zašto se onda toliko truditi da me u to uvjerite?
Međutim, Airbnb me jako zbunio. U ovom trenutku počeo sam snažno sumnjati da komuniciram s prevarantima, ali ipak nisam bio siguran. Znao sam da njihova prijevara neće uspjeti ako rezerviram putem Airbnba. Airbnb ima dobro uhodan postupak rješavanja sporova i mogu brzo dokazati da sam u pravu i dobiti svoj novac natrag.
Pokazao sam oglas prijatelju i on je rekao da nije prijevara. Trebali smo se kladiti jer sam na kraju bio u pravu. Ali onda sam odlučio provjeriti radi li se o prijevari ili ne i stoga sam ipak tražio poveznicu na Airbnb.
Zamolili su me da pričekam. Čekati što? I iz nekog razloga savjetovali su mi da sam pronađem njihov oglas na Airbnbu. I ovo je bilo prilično čudno i nisam u tome vidio nikakvu svrhu. Ako su me pokušavali prevariti, onda je besmisleno tražiti da im rezerviram mjesto na Airbnbu.
Ali čekaj... Nisam to mogao pronaći na Airbnbu. I onda sam opet tražio link...
Poslali su ga. Izgledao je pravi i imao je domenu airbnb.com. Ali budući da ovo nije bio moj prvi lov na phishing prevarante, provjerio sam pravu adresu veze u tekstualnoj verziji pisma (URL Destination). Kako kažu, pronađite dvije razlike:
Q.E.D!
To je istina. Ovo je veza za krađu identiteta. Idemo pogledati.
Ova snimka zaslona snimljena je nekoliko dana nakon moje prve istrage, kada Chrome nije imao vremena označiti ovaj URL kao opasan. Stranica za krađu identiteta napravljena je jednostavno savršeno! Interaktivan je i izgleda uvjerljivo. Stoga mogu lako priznati da oni koji ne sumnjaju u porijeklo URL-a lako mogu pasti na prevarante.
Sjajne lažne recenzije: 5/5. Nastavite s krađom identiteta, odlično vam ide!
Nisam testirao gumb Zahtjev za rezervaciju, ali siguran sam da bi me odveo na stranicu za krađu identiteta gdje bi podaci o mojoj kartici bili uspješno ukradeni. Hvala, možda drugi put.
Zašto me se toliko dojmilo?
Prevarantski tim - a siguran sam da je to bio tim - obavio je sjajan posao s visokom razinom detalja. Njihov engleski je savršen, njihova e-pošta izgleda profesionalno, njihova stranica za krađu identiteta izgleda kao Airbnb. Preusmjeravanje na hibernia.ca konfigurirano je s adrese engineers-hibernia-chevron.ca. To će izgraditi povjerenje kod onih koji žele provjeriti svoju domenu.
Još me se više dojmiju njihovi suptilni psihološki trikovi. U svakoj fazi interakcije sa mnom ostavljali su jednu nejasnu točku koju sam morao s njima razjasniti kako bih dalje išao prema svom cilju. Mnogo je lakše osjetiti da nešto nije u redu ako se pitanja postavljaju vama. A ako ste vi taj koji postavlja pitanja, postaje mnogo teže nastaviti ih pitati o stvarima koje vam se čine čudnima. Jer ste već dovoljno pitali i čini se da gubite vrijeme od zauzetih ljudi.
U početku njihov oglas nije imao broj telefona, pa sam bio prisiljen tražiti ga. Zatim su me uputili na web stranicu Airbnb i tražio sam poveznicu. Ali prvi put ga nisu dali, pa sam bio prisiljen ponovno tražiti. Sve je to bilo unaprijed isplanirano.
Tijekom razgovora također su spomenuli da su i drugi ljudi zainteresirani za njihov smještaj, održavajući vjerojatan osjećaj ograničenog vremena kada sam morao donijeti odluku. Konačno, korištenje Airbnba kao stranice za krađu identiteta bilo je pametno jer je stvaralo dojam pouzdanog posrednika. Isprva sam bio jako zbunjen jer mi nije bilo jasno kako planiraju ukrasti moje podatke. Da su jednostavno tražili podatke o banci ili kreditnoj kartici u početnoj fazi komunikacije, njihovu bi prijevaru bilo lako otkriti i razotkriti.
Kako se zaštititi od ovoga? Nekoliko savjeta
Kada komunicirate sa strancima online, uvijek provjerite porijeklo njihovih linkova! Obično jednostavno klikanje na poveznicu ne šteti, ali u nekim slučajevima to je dovoljno. Nisam bio 100% siguran da se radi o phishing prijevari dok nisam otkrio lažni Airbnb URL.
Помните, что адреса электронной почты отправителя могут быть подделаны, а доменные имена могут не совпадать с их отображением. То, что вы получили электронное письмо от [e-pošta zaštićena], не означает, что электронное письмо вам отправило ФБР.
Tražite znakove da vas netko vodi za nos. Pokušavaju li vas uvjeriti da s vama razgovaraju stvarni ljudi? Pokušavaju li vas natjerati da djelujete brže?
Koristite više metoda za potvrdu svog identiteta. Prvo zvono za uzbunu bilo je to što je prevarant navodno mogao komunicirati samo putem e-pošte. Ako netko nudi komunikaciju na daljinu, dogovorite video poziv, pretražite i usporedite njegove linkedin, facebook i sl. račune.
Nadam se da ste uživali u pripremi.
Pratite našeg programera na Instagramu
Izvor: www.habr.com