Recentemente, fui vítima de um ataque de phishing (felizmente mal sucedido). Algumas semanas atrás, eu estava navegando no Craigslist e no Zillow: estava procurando alugar um lugar na área da baía de São Francisco.
Belas fotos de um lugar me chamaram a atenção e quis entrar em contato com os proprietários e saber mais sobre ele. Apesar da minha experiência como profissional de segurança, não percebi que estava sendo contatado por golpistas até o terceiro e-mail! A seguir contarei detalhadamente e analisarei o caso junto com capturas de tela e alarmes.
Escrevo isto para ilustrar que ataques de phishing bem elaborados podem ser muito convincentes. Os especialistas em segurança geralmente recomendam prestar atenção à gramática e ao design para se proteger contra phishing: os golpistas supostamente têm pouco conhecimento do idioma e uma atitude descuidada em relação ao design visual. Em alguns casos isso realmente funciona, mas no meu caso não funcionou. Os golpistas mais sofisticados escrevem em boa linguagem e criam a ilusão de cumprimento de todas as regras escritas e não escritas, tentando atender às expectativas da vítima.
Primeiras letras: geralmente nada com que se preocupar
O anúncio no Craiglist dizia a qualquer pessoa interessada que ligasse. No entanto, o número de telefone em si não estava lá. Achei que foi um descuido, já que muitos anúncios fazem a mesma coisa. Resolvi então escrever ao senhorio e pedir-lhe o número dele, e também dizer-me o meu.
Em resposta, ele escreveu que eu poderia contatá-lo por e-mail: [email protegido]. Você pode pensar que isso por si só deveria ter parecido estranho para mim. No entanto, a busca por moradia com esses recursos costuma estar associada a alguns problemas com números de telefone, caixas de correio e soluções alternativas estranhas. Acabei de escrever um e-mail para este e-mail e recebi esta resposta:
O senhorio faz perguntas bastante típicas: “Quando pretende mudar-se?”, “Quantas pessoas vão viver consigo?”, “Qual é o seu rendimento anual?”
E então não percebi que estava me comunicando com golpistas
O proprietário disse que muitas vezes fica longe de casa por longos períodos e agora ficará ausente por dois anos inteiros. Achei um pouco estranho, mas cada um tem a sua situação, nunca se sabe. Além disso, muitos proprietários com quem conversei disseram a mesma coisa. E as perguntas que me foram feitas na carta pareciam bastante apropriadas. Então continuei a conversa e respondi a eles.
Então recebi esta carta:
“Aqui não tenho conexão móvel, só tenho acesso ao meu computador de trabalho. Continuaremos a nos comunicar por e-mail se estiver tudo bem para você."
“3 pessoas querem ver o imóvel. Não tenho tempo para me encontrar com cada um de vocês. Vou te passar um link... lá você pode reservar sua vaga (1 mês de aluguel adiantado mais depósito reembolsável). Se você nunca usou o Airbnb antes, é bem fácil...”
Foi aqui que os alarmes começaram a tocar. Depois de receber esta carta, eu já tinha 80-90 por cento de certeza de que eram golpistas
O primeiro sinal de alarme: “Não tenho conexão móvel aqui, só tenho acesso ao meu computador de trabalho. Continuaremos a nos comunicar por e-mail se estiver tudo bem para você." A segunda é a estranha aparição do Airbnb na nossa conversa.
Por que eles queriam que eu pagasse através do Airbnb?
O terceiro sinal de alerta são muitas fotografias confirmando que se trata de uma pessoa real. Mas se a identidade não é falsa, então por que tentar tanto me convencer disso?
No entanto, o Airbnb realmente me confundiu. Nesse ponto, comecei a suspeitar fortemente que estava me comunicando com golpistas, mas ainda assim não tinha certeza. Eu sabia que o golpe deles não funcionaria se eu reservasse pelo Airbnb. A Airbnb tem um procedimento de resolução de litígios bem estabelecido e posso provar rapidamente que estou certo e receber o meu dinheiro de volta.
Mostrei o anúncio a um amigo e ele disse que não era uma farsa. Devíamos ter feito uma aposta porque no final eu estava certo. Mas então resolvi verificar se era uma farsa ou não e por isso ainda pedi um link para o Airbnb.
Eles me pediram para esperar. Esperar pelo quê? E por alguma razão eles me aconselharam a encontrar eu mesmo o anúncio deles no Airbnb. Isso também foi bastante estranho e não vi nenhum sentido nisso. Se eles estavam tentando me enganar, pedir-me para reservar o lugar deles no Airbnb seria inútil.
Mas espere... não consegui encontrar no Airbnb. E então pedi o link novamente...
Eles enviaram. Parecia real e tinha o domínio airbnb.com. Mas como esta não foi minha primeira caçada a golpistas de phishing, verifiquei o endereço real do link na versão em texto da carta (URL de destino). Como se costuma dizer, encontre duas diferenças:
O que foi necessário para provar!
Isto é verdade. Este é um link de phishing. Vamos dar uma olhada.
Esta captura de tela foi tirada alguns dias após minha primeira investigação, quando o Chrome não teve tempo de marcar este URL como perigoso. O site de phishing é feito perfeitamente! É interativo e parece convincente. Portanto, posso facilmente admitir que quem não duvida da origem da URL pode facilmente cair em golpistas.
Ótimas críticas falsas: 5/5. Continue phishing, você está indo muito bem!
Não testei o botão Solicitar reserva, mas tenho certeza de que isso me levaria a uma página de phishing onde os detalhes do meu cartão teriam sido roubados com sucesso. Obrigado, talvez outra hora.
Por que fiquei tão impressionado?
A equipe de golpes - e tenho certeza de que era uma equipe - fez um ótimo trabalho com alto nível de detalhes. O inglês deles é perfeito, os e-mails parecem profissionais, o site de phishing parece o Airbnb. Um redirecionamento para hibernia.ca é configurado a partir do endereço engenheiros-hibernia-chevron.ca. Isso criará confiança naqueles que desejam verificar seu domínio.
Estou ainda mais impressionado com seus sutis truques psicológicos. Em cada etapa da interação comigo, eles deixaram um ponto obscuro, que tive que esclarecer com eles para avançar ainda mais em direção ao meu objetivo. É muito mais fácil sentir que algo está errado se as perguntas forem feitas a você. E se é você quem faz as perguntas, fica muito mais difícil continuar perguntando sobre coisas que lhe parecem estranhas. Porque você já pediu o suficiente e parece estar perdendo tempo com pessoas ocupadas.
No início, o anúncio deles não tinha número de telefone, então fui forçado a pedir um. Eles então me direcionaram para o site do Airbnb e pedi um link. Mas na primeira vez eles não deram, então fui forçado a perguntar novamente. Tudo isso foi planejado com antecedência.
Durante a conversa, mencionaram também que outras pessoas também estavam interessadas na sua habitação, mantendo uma plausível sensação de limitação de tempo quando tive que tomar uma decisão. Por fim, usar o Airbnb como site de phishing foi inteligente porque criou a aparência de um intermediário confiável. No começo fiquei muito confuso porque não conseguia entender como eles planejavam roubar meus dados. Se eles tivessem simplesmente solicitado informações bancárias ou de cartão de crédito no estágio inicial da comunicação, seu golpe teria sido fácil de detectar e descobrir.
Como se proteger disso? Algumas dicas
Ao se comunicar com estranhos online, verifique sempre a origem de seus links! Normalmente, simplesmente clicar em um link não faz mal, mas em alguns casos é suficiente. Eu não tinha 100% de certeza de que se tratava de um golpe de phishing até descobrir o URL falso do Airbnb.
Esteja ciente de que os endereços de e-mail dos remetentes podem ser falsificados e os nomes de domínio podem não corresponder ao que parecem ser. Que você recebeu um e-mail de [email protegido], não significa que o FBI lhe enviou o e-mail.
Procure sinais de que alguém está te guiando pelo nariz. Eles estão tentando convencê-lo de que são pessoas reais falando com você? Eles estão tentando fazer com que você aja mais rápido?
Use vários métodos para verificar sua identidade. O primeiro sinal de alarme foi que o golpista supostamente só poderia se comunicar por e-mail. Se alguém se oferecer para se comunicar remotamente, organize uma videochamada, pesquise e compare suas contas do LinkedIn, Facebook, etc.
Espero que tenham gostado da preparação.
Siga nosso desenvolvedor no Instagram
Fonte: habr.com