Ik ben onlangs het slachtoffer geworden van een (gelukkig mislukte) phishing-aanval. Een paar weken geleden bladerde ik door Craigslist en Zillow: ik was op zoek naar een woning in de San Francisco Bay Area.
Mooie foto's van een plek trokken mijn aandacht en ik wilde contact opnemen met de verhuurders om er meer over te weten te komen. Ondanks mijn ervaring als beveiligingsprofessional, realiseerde ik me pas bij de derde e-mail dat ik werd benaderd door oplichters! Hieronder zal ik je in detail vertellen en de zaak analyseren, samen met screenshots en alarmbellen.
Ik schrijf dit om te illustreren dat goed uitgevoerde phishing-aanvallen zeer overtuigend kunnen zijn. Beveiligingsspecialisten raden vaak aan om aandacht te besteden aan grammatica en ontwerp om uzelf tegen phishing te beschermen: oplichters hebben naar verluidt een slechte kennis van de taal en een onzorgvuldige houding ten opzichte van visueel ontwerp. In sommige gevallen werkt dit ook daadwerkelijk, maar in mijn geval werkte het niet. De meest geavanceerde oplichters schrijven in goede taal en creëren de illusie dat alle geschreven en ongeschreven regels worden nageleefd, in een poging aan de verwachtingen van het slachtoffer te voldoen.
Eerste letters: over het algemeen niets om u zorgen over te maken
De advertentie op Craiglist vertelde iedereen die geïnteresseerd was om te bellen. Het telefoonnummer zelf was er echter niet. Ik dacht dat het een vergissing was, omdat veel advertenties hetzelfde doen. Toen besloot ik de huisbaas te schrijven en hem om zijn nummer te vragen, en mij ook het mijne te vertellen.
In reactie daarop schreef hij dat ik per e-mail contact met hem kon opnemen: [e-mail beveiligd]. Je zou misschien denken dat dit alleen al vreemd voor mij had moeten lijken. Het zoeken naar huisvesting op dergelijke bronnen gaat echter vaak gepaard met enkele problemen met telefoonnummers, mailboxen en vreemde oplossingen. Daarom schreef ik zojuist een e-mail naar deze e-mail en ontving dit antwoord:
De verhuurder stelt heel typische vragen: “Wanneer bent u van plan te verhuizen?”, “Hoeveel mensen komen er bij u wonen?”, “Wat is uw jaarinkomen?”
En toen besefte ik niet dat ik met oplichters communiceerde
De huisbaas zei dat hij vaak langere tijd van huis is, en nu zal hij twee hele jaren weg zijn. Ik vond het een beetje vreemd, maar iedereen heeft zijn eigen omstandigheden, je weet maar nooit. Bovendien zeiden veel verhuurders met wie ik sprak hetzelfde. En de vragen die mij in de brief werden gesteld, leken heel toepasselijk. Dus zette ik het gesprek voort en reageerde op hen.
Toen kreeg ik deze brief:
“Ik heb hier geen mobiele verbinding, ik heb alleen toegang tot mijn werkcomputer. We blijven via e-mail communiceren als u dat goed vindt."
“3 mensen willen het pand bezichtigen. Ik heb geen tijd om jullie allemaal te ontmoeten. Ik geef je een link... daar kun je je plekje reserveren (1 maand huur vooraf plus een restitueerbare borg). Als je nog niet eerder Airbnb hebt gebruikt, is het vrij eenvoudig...”
Hier begonnen de alarmbellen te rinkelen. Nadat ik deze brief had ontvangen, was ik er al 80-90 procent zeker van dat dit oplichters waren
De eerste alarmbel: “Ik heb hier geen mobiele verbinding, ik heb alleen toegang tot mijn werkcomputer. We blijven via e-mail communiceren als u dat goed vindt." De tweede is de vreemde verschijning van Airbnb in ons gesprek.
Waarom wilden ze dat ik via Airbnb betaalde?
Het derde waarschuwingssignaal zijn te veel foto's die bevestigen dat dit een echte persoon is. Maar als de identiteit niet nep is, waarom zou je dan zo je best doen om mij ervan te overtuigen?
Airbnb bracht mij echter echt in verwarring. Op dit punt begon ik sterk te vermoeden dat ik met oplichters communiceerde, maar toch wist ik het niet zeker. Ik wist dat hun zwendel niet zou werken als ik via Airbnb boekte. Airbnb heeft een uitgebreide geschillenbeslechtingsprocedure en ik kan snel bewijzen dat ik gelijk heb en mijn geld terugkrijgen.
Ik liet de advertentie aan een vriend zien en hij zei dat het geen oplichterij was. We hadden moeten wedden, want uiteindelijk had ik gelijk. Maar toen besloot ik te controleren of het oplichting was of niet en vroeg daarom toch om een link naar Airbnb.
Ze vroegen mij om te wachten. Wacht voor wat? En om de een of andere reden adviseerden ze mij om zelf hun advertentie op Airbnb te zoeken. Dit was ook best vreemd en ik zag er het nut niet van in. Als ze me probeerden op te lichten, was het zinloos om me te vragen om hun plek op Airbnb te boeken.
Maar wacht... ik kon het niet vinden op Airbnb. En toen vroeg ik opnieuw om de link...
Ze hebben het verzonden. Het zag er echt uit en had het domein airbnb.com. Maar aangezien dit niet mijn eerste jacht op phishing-oplichters was, controleerde ik het echte linkadres in de tekstversie van de brief (URL-bestemming). Zoek, zoals ze zeggen, twee verschillen:
QED!
Dit is waar. Dit is een phishing-link. Laten we eens kijken.
Deze schermafbeelding is een paar dagen na mijn eerste onderzoek gemaakt, toen Chrome geen tijd had om deze URL als gevaarlijk te markeren. De phishing-site is gewoon perfect gemaakt! Het is interactief en ziet er overtuigend uit. Daarom kan ik gemakkelijk toegeven dat degenen die niet twijfelen aan de oorsprong van de URL gemakkelijk voor oplichters kunnen vallen.
Geweldige neprecensies: 5/5. Blijf phishing, je doet het geweldig!
Ik heb de knop Boekenaanvraag niet getest, maar ik ben er zeker van dat deze mij naar een phishing-pagina zou hebben geleid waar mijn kaartgegevens met succes zouden zijn gestolen. Bedankt, misschien een andere keer.
Waarom was ik zo onder de indruk?
Het oplichtersteam - en ik weet zeker dat het een team was - heeft uitstekend werk geleverd met een hoog detailniveau. Hun Engels is perfect, hun e-mails zien er professioneel uit, hun phishing-site lijkt op Airbnb. Een omleiding naar hibernia.ca wordt geconfigureerd vanaf het adres engineers-hibernia-chevron.ca. Dit zal het vertrouwen vergroten bij degenen die hun domein willen bekijken.
Ik ben nog meer onder de indruk van hun subtiele psychologische trucjes. In elke fase van de interactie met mij lieten ze een onduidelijk punt achter, dat ik samen met hen moest verduidelijken om verder op weg te gaan naar mijn doel. Het is veel gemakkelijker om aan te voelen dat er iets mis is als de vragen aan u worden gesteld. En als jij degene bent die de vragen stelt, wordt het veel moeilijker om ze te blijven vragen over dingen die je vreemd lijken. Omdat je al genoeg hebt gevraagd en tijd lijkt te verspillen aan drukke mensen.
In eerste instantie had hun advertentie geen telefoonnummer, dus moest ik erom vragen. Ze stuurden me vervolgens naar de Airbnb-website en ik vroeg om een link. Maar de eerste keer gaven ze het niet, dus moest ik het opnieuw vragen. Dit alles was van tevoren gepland.
Tijdens het gesprek zeiden ze ook dat andere mensen ook geïnteresseerd waren in hun huisvesting, waardoor ze een plausibel gevoel van beperkte tijd behouden als ik een beslissing moest nemen. Ten slotte was het slim om Airbnb als phishing-site te gebruiken, omdat het de schijn wekte van een vertrouwde tussenpersoon. In eerste instantie was ik erg in de war omdat ik niet begreep hoe ze van plan waren mijn gegevens te stelen. Als ze in de beginfase van de communicatie eenvoudigweg om bank- of creditcardgegevens hadden gevraagd, zou hun zwendel gemakkelijk te detecteren en te ontdekken zijn geweest.
Hoe kun je jezelf hiertegen beschermen? Een aantal tips
Wanneer u online met vreemden communiceert, controleer dan altijd de oorsprong van hun links! Meestal kan het simpelweg klikken op een link geen kwaad, maar in sommige gevallen is dit voldoende. Ik was er niet 100% zeker van dat het om phishing ging, totdat ik de valse Airbnb-URL ontdekte.
Помните, что адреса электронной почты отправителя могут быть подделаны, а доменные имена могут не совпадать с их отображением. То, что вы получили электронное письмо от [e-mail beveiligd], не означает, что электронное письмо вам отправило ФБР.
Let op tekenen dat iemand je bij de neus neemt. Proberen ze je ervan te overtuigen dat het echte mensen zijn die tegen je praten? Proberen ze je sneller te laten handelen?
Gebruik meerdere methoden om uw identiteit te verifiëren. De eerste alarmbel luidde dat de oplichter alleen via e-mail kon communiceren. Als iemand aanbiedt om op afstand te communiceren, organiseer dan een videogesprek, zoek en vergelijk hun LinkedIn-, Facebook-, enz.-accounts.
Ik hoop dat je genoten hebt van de voorbereiding.
Volg onze ontwikkelaar op Instagram
Bron: www.habr.com