Recentemente sono stato vittima di un attacco di phishing (per fortuna senza successo). Qualche settimana fa stavo navigando su Craigslist e Zillow: stavo cercando una casa in affitto nella zona della Baia di San Francisco.
Le belle foto di un luogo hanno attirato la mia attenzione e ho voluto contattare i proprietari e saperne di più. Nonostante la mia esperienza come professionista della sicurezza, non mi sono accorto di essere stato contattato dai truffatori fino alla terza email! Di seguito vi racconterò nel dettaglio e analizzerò il caso insieme a screenshot e campanelli d'allarme.
Scrivo questo per illustrare che gli attacchi di phishing ben congegnati possono essere molto convincenti. Gli specialisti della sicurezza consigliano spesso di prestare attenzione alla grammatica e al design per proteggersi dal phishing: i truffatori presumibilmente hanno una scarsa conoscenza della lingua e un atteggiamento negligente nei confronti del visual design. In alcuni casi funziona davvero, ma nel mio caso non ha funzionato. I truffatori più sofisticati scrivono in un buon linguaggio e creano l’illusione del rispetto di tutte le regole scritte e non scritte, cercando di soddisfare le aspettative della vittima.
Prime lettere: generalmente nulla di cui preoccuparsi
L'annuncio su Craiglist diceva a chiunque fosse interessato di chiamare. Tuttavia, il numero di telefono non era presente. Ho pensato che fosse una svista, dal momento che molti annunci fanno la stessa cosa. Allora ho deciso di scrivere al padrone di casa e chiedergli il suo numero, e dirmi anche il mio.
In risposta, ha scritto che potevo contattarlo via email: [email protected]. Potresti pensare che solo questo avrebbe dovuto sembrarmi strano. Tuttavia, la ricerca di alloggi su tali risorse è spesso associata ad alcuni problemi con numeri di telefono, caselle di posta e strane soluzioni alternative. Quindi ho appena scritto un'e-mail a questa e-mail e ho ricevuto questa risposta:
Il padrone di casa pone domande abbastanza tipiche: "Quando pensi di trasferirti?", "Quante persone vivranno con te?", "Qual è il tuo reddito annuo?"
E poi non mi sono reso conto che stavo comunicando con dei truffatori
Il padrone di casa ha detto che spesso è lontano da casa per lunghi periodi di tempo, e ora sarà lontano per due anni interi. Pensavo fosse un po’ strano, ma ognuno ha le sue circostanze, non si sa mai. Inoltre, molti proprietari con cui ho parlato hanno detto la stessa cosa. E le domande che mi sono state poste nella lettera mi sono sembrate del tutto appropriate. Quindi ho continuato la conversazione e ho risposto.
Poi ho ricevuto questa lettera:
“Qui non ho una connessione mobile, ho accesso solo al computer del lavoro. Continueremo a comunicare via e-mail se per te va bene."
“3 persone vogliono vedere la proprietà. Non ho tempo per incontrarvi ciascuno di voi. Ti darò un link... lì potrai prenotare il tuo posto (1 mese di affitto in anticipo più un deposito rimborsabile). Se non hai mai usato Airbnb prima, è abbastanza semplice...”
È qui che iniziano a suonare i campanelli d’allarme. Dopo aver ricevuto questa lettera, ero già sicuro all'80-90% che si trattasse di truffatori
Il primo campanello d’allarme: “Qui non ho connessione mobile, ho accesso solo al computer del lavoro. Continueremo a comunicare via e-mail se per te va bene." Il secondo è la strana apparizione di Airbnb nella nostra conversazione.
Perché volevano che pagassi tramite Airbnb?
Il terzo segnale di avvertimento sono le troppe fotografie che confermano che si tratta di una persona reale. Ma se l’identità non è falsa, allora perché sforzarsi così tanto di convincermene?
Tuttavia, Airbnb mi ha davvero confuso. A questo punto ho iniziato a sospettare fortemente di comunicare con dei truffatori, ma ancora non ne ero sicuro. Sapevo che la loro truffa non avrebbe funzionato se avessi prenotato tramite Airbnb. Airbnb dispone di una procedura di risoluzione delle controversie ben consolidata e posso dimostrare rapidamente di avere ragione e recuperare i miei soldi.
Ho mostrato l'annuncio ad un amico e lui ha detto che non era una truffa. Avremmo dovuto scommettere perché alla fine ho avuto ragione. Ma poi ho deciso di verificare se si trattasse di una truffa o meno e quindi ho comunque chiesto il collegamento ad Airbnb.
Mi hanno chiesto di aspettare. Aspettare cosa? E per qualche motivo mi hanno consigliato di cercare io stesso il loro annuncio su Airbnb. Anche questo era piuttosto strano e non ne vedevo il motivo. Se stavano cercando di truffarmi, chiedermi di prenotare la loro casa su Airbnb era inutile.
Ma aspetta... non sono riuscito a trovarlo su Airbnb. E poi ho chiesto di nuovo il collegamento...
L'hanno inviato. Sembrava reale e aveva il dominio airbnb.com. Ma poiché questa non era la mia prima caccia ai truffatori di phishing, ho controllato il vero indirizzo del collegamento nella versione testuale della lettera (URL di destinazione). Come si suol dire, trova due differenze:
Cosa era necessario per dimostrare!
Questo è vero. Questo è un collegamento di phishing. Diamo un'occhiata.
Questo screenshot è stato acquisito pochi giorni dopo la mia prima indagine, quando Chrome non aveva avuto il tempo di contrassegnare questo URL come pericoloso. Il sito di phishing è realizzato in modo perfetto! È interattivo e sembra convincente. Pertanto posso tranquillamente ammettere che chi non dubita dell'origine dell'URL può facilmente cadere nella trappola dei truffatori.
Ottime recensioni false: 5/5. Continua a fare phishing, stai andando alla grande!
Non ho testato il pulsante Richiesta di prenotazione, ma sono sicuro che mi avrebbe portato su una pagina di phishing in cui i dettagli della mia carta sarebbero stati rubati con successo. Grazie, magari un'altra volta.
Perché sono rimasto così colpito?
Il team di truffatori, e sono sicuro che fosse una squadra, ha fatto un ottimo lavoro con un alto livello di dettaglio. Il loro inglese è perfetto, le loro e-mail sembrano professionali, il loro sito di phishing assomiglia ad Airbnb. Un reindirizzamento a hibernia.ca è configurato dall'indirizzo engineer-hibernia-chevron.ca. Ciò creerà fiducia in coloro che desiderano controllare il proprio dominio.
Sono ancora più colpito dai loro sottili trucchi psicologici. In ogni fase dell'interazione con me, hanno lasciato un punto poco chiaro, che ho dovuto chiarire con loro per poter avanzare ulteriormente verso il mio obiettivo. È molto più facile percepire che qualcosa non va se ti vengono poste le domande. E se sei tu a porre le domande, diventa molto più difficile continuare a chiedere cose che ti sembrano strane. Perché hai già chiesto abbastanza e sembra che tu stia perdendo tempo con persone impegnate.
All'inizio il loro annuncio non aveva un numero di telefono, quindi sono stato costretto a chiederne uno. Poi mi hanno indirizzato al sito web di Airbnb e ho chiesto un collegamento. Ma la prima volta non l'hanno dato, quindi sono stato costretto a chiedere di nuovo. Tutto questo era pianificato in anticipo.
Durante la conversazione, hanno anche detto che anche altre persone erano interessate al loro alloggio, mantenendo una plausibile sensazione di tempo limitato in cui dovevo prendere una decisione. Infine, utilizzare Airbnb come sito di phishing è stato intelligente perché creava l’apparenza di un intermediario fidato. All'inizio ero davvero confuso perché non riuscivo a capire come stessero progettando di rubare i miei dati. Se nella fase iniziale della comunicazione avessero semplicemente chiesto i dati della banca o della carta di credito, la loro truffa sarebbe stata facile da individuare e scoprire.
Come proteggersi da questo? Alcuni suggerimenti
Quando comunichi con estranei online, controlla sempre l'origine dei loro collegamenti! Di solito il semplice clic su un collegamento non provoca danni, ma in alcuni casi è sufficiente. Non ero sicuro al 100% che si trattasse di una truffa di phishing finché non ho scoperto l'URL falso di Airbnb.
Помните, что адреса электронной почты отправителя могут быть подделаны, а доменные имена могут не совпадать с их отображением. То, что вы получили электронное письмо от [email protected], не означает, что электронное письмо вам отправило ФБР.
Cerca i segnali che indicano che qualcuno ti sta prendendo per il naso. Stanno cercando di convincerti che sono persone vere che parlano con te? Stanno cercando di farti agire più velocemente?
Utilizza più metodi per verificare la tua identità. Il primo campanello d’allarme era che il truffatore avrebbe potuto comunicare solo tramite email. Se qualcuno si offre di comunicare a distanza, organizza una videochiamata, cerca e confronta i suoi account LinkedIn, Facebook, ecc.
Spero che la preparazione vi sia piaciuta.
Segui il nostro sviluppatore su Instagram
Fonte: habr.com