Niedawno stałem się ofiarą (na szczęście nieudanego) ataku phishingowego. Kilka tygodni temu przeglądałem Craigslist i Zillow: chciałem wynająć mieszkanie w rejonie Zatoki San Francisco.
Ładne zdjęcia miejsca przykuły moją uwagę i chciałem skontaktować się z właścicielami i dowiedzieć się więcej na ten temat. Pomimo mojego doświadczenia jako specjalisty ds. bezpieczeństwa, dopiero po trzecim e-mailu zdałem sobie sprawę, że oszuści kontaktują się ze mną! Poniżej opowiem szczegółowo i przeanalizuję sprawę wraz ze zrzutami ekranu i dzwonkami alarmowymi.
Piszę to, aby zilustrować, że dobrze przygotowane ataki phishingowe mogą być bardzo przekonujące. Specjaliści ds. bezpieczeństwa często zalecają zwracanie uwagi na gramatykę i projekt, aby uchronić się przed phishingiem: oszuści rzekomo mają słabą znajomość języka i nieostrożne podejście do projektowania wizualnego. W niektórych przypadkach to rzeczywiście działa, ale w moim przypadku nie zadziałało. Najbardziej wyrafinowani oszuści piszą dobrym językiem i tworzą iluzję przestrzegania wszystkich pisanych i niepisanych zasad, starając się spełnić oczekiwania ofiary.
Pierwsze litery: generalnie nie ma się czym martwić
Ogłoszenie na Craiglist kazało każdemu zainteresowanemu zadzwonić. Jednak samego numeru telefonu tam nie było. Myślałem, że to przeoczenie, ponieważ wiele reklam robi to samo. Wtedy postanowiłem napisać do wynajmującego i poprosić go o jego numer, a także podać mi swój.
W odpowiedzi napisał, że mogę się z nim skontaktować mailowo: [email chroniony]. Można by pomyśleć, że samo to powinno wydawać mi się dziwne. Jednak poszukiwanie mieszkań na takich zasobach często wiąże się z pewnymi problemami z numerami telefonów, skrzynkami pocztowymi i dziwnymi obejściami. Napisałem więc e-mail na ten e-mail i otrzymałem taką odpowiedź:
Wynajmujący zadaje dość typowe pytania: „Kiedy planujesz się wprowadzić?”, „Ile osób będzie u Ciebie mieszkać?”, „Jaki jest Twój roczny dochód?”
A potem nie zdawałem sobie sprawy, że komunikuję się z oszustami
Właściciel powiedział, że często przebywa poza domem przez długie okresy czasu, a teraz będzie nieobecny przez całe dwa lata. Pomyślałem, że to trochę dziwne, ale każdy ma swoją sytuację, nigdy nie wiadomo. Co więcej, wielu właścicieli, z którymi rozmawiałem, powiedziało to samo. A pytania zadane mi w liście wydawały się całkiem stosowne. Kontynuowałem więc rozmowę i odpowiedziałem na nie.
Następnie otrzymałem taki list:
„Nie mam tu połączenia mobilnego, mam dostęp tylko do komputera w pracy. Będziemy nadal komunikować się za pośrednictwem poczty elektronicznej, jeśli Ci to odpowiada.”
„Trzy osoby chcą zobaczyć nieruchomość. Nie mam czasu spotykać się z każdym z Was. Dam ci link... tam możesz zarezerwować miejsce (3-miesięczny czynsz z góry plus zwrotna kaucja). Jeśli nigdy wcześniej nie korzystałeś z Airbnb, jest to całkiem proste...”
W tym miejscu zaczęły bić sygnały alarmowe. Po otrzymaniu tego listu byłem już w 80-90% pewien, że są to oszuści
Pierwszy dzwonek alarmowy: „Nie mam tu połączenia mobilnego, mam dostęp tylko do swojego służbowego komputera. Będziemy nadal komunikować się za pośrednictwem poczty elektronicznej, jeśli Ci to odpowiada.” Drugim jest dziwne pojawienie się Airbnb w naszej rozmowie.
Dlaczego chcieli, żebym płacił za pośrednictwem Airbnb?
Trzecim sygnałem ostrzegawczym jest zbyt duża liczba zdjęć potwierdzających, że jest to prawdziwa osoba. Ale jeśli tożsamość nie jest fałszywa, to po co tak bardzo starać się mnie o tym przekonać?
Jednak Airbnb naprawdę mnie zdezorientowało. W tym momencie zacząłem mocno podejrzewać, że komunikuję się z oszustami, ale nadal nie byłem pewien. Wiedziałem, że ich oszustwo nie zadziała, jeśli dokonam rezerwacji przez Airbnb. Airbnb ma ugruntowaną procedurę rozstrzygania sporów, dzięki czemu mogę szybko udowodnić, że mam rację i odzyskać pieniądze.
Pokazałem ogłoszenie znajomemu, a on powiedział, że to nie oszustwo. Powinniśmy byli postawić zakład, bo ostatecznie miałem rację. Ale potem postanowiłem sprawdzić, czy to oszustwo, czy nie, i dlatego nadal poprosiłem o link do Airbnb.
Poprosili, żebym poczekał. Czekać na co? I z jakiegoś powodu doradzili mi, żebym sam znalazł ich ogłoszenie na Airbnb. To też było dość dziwne i nie widziałem w tym żadnego sensu. Jeśli próbowali mnie oszukać, proszenie mnie o rezerwację miejsca na Airbnb było bezcelowe.
Ale czekaj... Nie mogłem tego znaleźć na Airbnb. A potem znowu poprosiłem o link...
Wysłali to. Wyglądało realnie i miało domenę airbnb.com. Ponieważ jednak nie było to moje pierwsze polowanie na oszustów phishingowych, sprawdziłem prawdziwy adres linku w tekstowej wersji listu (Docelowy adres URL). Jak mówią, znajdź dwie różnice:
CO BYŁO DO OKAZANIA!
To prawda. To jest link phishingowy. Przyjrzyjmy się.
Ten zrzut ekranu został zrobiony kilka dni po moim pierwszym dochodzeniu, kiedy Chrome nie miał czasu oznaczyć tego adresu URL jako niebezpiecznego. Strona phishingowa jest wykonana perfekcyjnie! Jest interaktywny i wygląda przekonująco. Dlatego z łatwością mogę przyznać, że ci, którzy nie wątpią w pochodzenie adresu URL, mogą łatwo dać się nabrać na oszustów.
Świetne fałszywe recenzje: 5/5. Wyłudzaj dalej, radzisz sobie świetnie!
Nie testowałem przycisku Poproś o rezerwację, ale jestem pewien, że przeniósłby mnie na stronę phishingową, na której skradzionoby dane mojej karty. Dziękuję, może innym razem.
Dlaczego byłem pod takim wrażeniem?
Zespół oszustów – a jestem pewien, że to był zespół – wykonał świetną robotę, zachowując wysoki poziom szczegółowości. Ich angielski jest doskonały, ich e-maile wyglądają profesjonalnie, a ich witryna phishingowa wygląda jak Airbnb. Przekierowanie do hibernia.ca jest skonfigurowane z adresu inżynierów-hibernia-chevron.ca. Zbuduje to zaufanie u tych, którzy chcą sprawdzić swoją domenę.
Jeszcze większe wrażenie robią na mnie ich subtelne sztuczki psychologiczne. Na każdym etapie interakcji ze mną zostawiali jeden niejasny punkt, który musiałem z nimi wyjaśnić, aby dalej podążać w stronę mojego celu. O wiele łatwiej jest wyczuć, że coś jest nie tak, gdy zadaje się pytania Tobie. A jeśli to ty zadajesz pytania, znacznie trudniej jest zadawać im pytania o rzeczy, które wydają ci się dziwne. Ponieważ prosiłeś już wystarczająco dużo i wydaje się, że marnujesz czas na zapracowanych ludzi.
Na początku w ich ogłoszeniu nie było numeru telefonu, więc byłem zmuszony o niego poprosić. Następnie skierowali mnie na stronę Airbnb i poprosiłem o link. Ale za pierwszym razem tego nie dali, więc byłem zmuszony zapytać ponownie. Wszystko to było zaplanowane z góry.
W trakcie rozmowy wspomnieli także, że ich mieszkaniem interesują się także inne osoby, zachowując wiarygodne poczucie ograniczonego czasu, kiedy muszę podjąć decyzję. Wreszcie wykorzystanie Airbnb jako strony phishingowej było mądrym rozwiązaniem, ponieważ stwarzało wrażenie zaufanego pośrednika. Na początku byłem naprawdę zdezorientowany, ponieważ nie mogłem zrozumieć, w jaki sposób planują ukraść moje dane. Gdyby na początkowym etapie komunikacji po prostu poprosili o dane banku lub karty kredytowej, ich oszustwo byłoby łatwe do wykrycia i zdemaskowania.
Jak się przed tym uchronić? Kilka porad
Komunikując się z nieznajomymi online, zawsze sprawdzaj pochodzenie ich linków! Zwykle samo kliknięcie linku nie powoduje szkody, ale w niektórych przypadkach to wystarczy. Nie byłem w 100% pewien, że to oszustwo typu phishing, dopóki nie odkryłem fałszywego adresu URL Airbnb.
Należy pamiętać, że adresy e-mail nadawców mogą być sfałszowane, a nazwy domen mogą różnić się od tego, na jakie wyglądają. Od którego otrzymałeś e-mail [email chroniony], nie oznacza, że FBI wysłało Ci e-mail.
Szukaj oznak, że ktoś prowadzi Cię za nos. Czy próbują Cię przekonać, że rozmawiają z Tobą prawdziwi ludzie? Czy próbują nakłonić Cię do szybszego działania?
Skorzystaj z wielu metod weryfikacji swojej tożsamości. Pierwszym sygnałem alarmowym było to, że oszust rzekomo mógł komunikować się wyłącznie za pośrednictwem poczty elektronicznej. Jeśli ktoś oferuje komunikację na odległość, umów się na rozmowę wideo, wyszukaj i porównaj jego konta na LinkedIn, Facebooku itp.
Mam nadzieję, że podobały Ci się przygotowania.
Śledź naszego programistę na Instagramie
Źródło: www.habr.com