Nedávno som sa stal obeťou (našťastie neúspešného) phishingového útoku. Pred niekoľkými týždňami som si prezeral Craigslist a Zillow: Hľadal som si prenajať miesto v oblasti San Francisco Bay Area.
Upútali ma pekné fotky miesta a chcel som kontaktovať prenajímateľov a zistiť o ňom viac. Napriek skúsenostiam bezpečnostného profesionála som si až do tretieho emailu neuvedomil, že ma kontaktujú podvodníci! Nižšie vám poviem podrobne a analyzujem prípad spolu so snímkami obrazovky a poplašnými zvončekmi.
Píšem to preto, aby som ilustroval, že dobre pripravené phishingové útoky môžu byť veľmi presvedčivé. Bezpečnostní špecialisti často odporúčajú venovať pozornosť gramatike a dizajnu, aby ste sa ochránili pred phishingom: podvodníci majú údajne slabé znalosti jazyka a nedbalý prístup k vizuálnemu dizajnu. V niektorých prípadoch to skutočne funguje, ale v mojom prípade to nefungovalo. Najsofistikovanejší podvodníci píšu dobrým jazykom a vytvárajú ilúziu dodržiavania všetkých písaných a nepísaných pravidiel, snažiac sa splniť očakávania obete.
Prvé písmená: vo všeobecnosti sa nemusíte obávať
Inzerát na craiglist odkázal každému, kto má záujem, aby zavolal. Samotné telefónne číslo tam však nebolo. Myslel som si, že to bolo prehliadnutie, keďže mnoho reklám robí to isté. Potom som sa rozhodol napísať prenajímateľovi a požiadať ho o jeho číslo a tiež mi povedať moje.
V odpovedi mi napísal, že ho môžem kontaktovať e-mailom: [chránené e-mailom]. Možno si myslíte, že toto samo o sebe mi malo pripadať zvláštne. Hľadanie bývania na takýchto zdrojoch je však často spojené s určitými problémami s telefónnymi číslami, poštovými schránkami a podivnými riešeniami. Tak som práve napísal e-mail na tento e-mail a dostal som túto odpoveď:
Prenajímateľ kladie celkom typické otázky: „Kedy sa plánujete nasťahovať?“, „Koľko ľudí s vami bude bývať?“, „Aký je váš ročný príjem?“
A potom som si neuvedomil, že komunikujem s podvodníkmi
Prenajímateľ povedal, že je často na dlhší čas mimo domova a teraz bude preč celé dva roky. Myslel som si, že je to trochu zvláštne, ale každý má svoje vlastné okolnosti, človek nikdy nevie. Navyše mnohí majitelia, s ktorými som hovoril, povedali to isté. A otázky položené v liste sa mi zdali celkom vhodné. Pokračoval som teda v rozhovore a odpovedal som im.
Potom som dostal tento list:
„Nemám tu mobilné pripojenie, mám prístup len k svojmu pracovnému počítaču. Ak to bude pre vás v poriadku, budeme naďalej komunikovať prostredníctvom e-mailu."
„Traja ľudia chcú vidieť nehnuteľnosť. Nemám čas stretnúť sa s každým z vás. Dám ti link...tam si môžeš rezervovať miesto (3 mesačný nájom vopred plus vratný depozit). Ak ste ešte nepoužívali Airbnb, je to celkom jednoduché...”
Tu začali zvoniť poplašné zvony. Po prijatí tohto listu som si bol už na 80-90 percent istý, že ide o podvodníkov
Prvý alarm: „Nemám tu mobilné pripojenie, mám prístup len k svojmu pracovnému počítaču. Ak to bude pre vás v poriadku, budeme naďalej komunikovať prostredníctvom e-mailu." Druhým je zvláštny vzhľad Airbnb v našom rozhovore.
Prečo chceli, aby som platil cez Airbnb?
Tretím varovným signálom je príliš veľa fotografií, ktoré potvrdzujú, že ide o skutočnú osobu. Ale ak identita nie je falošná, tak prečo sa ma o nej tak snažíte presvedčiť?
Airbnb ma však poriadne zmiatlo. V tomto bode som začal silne podozrievať, že komunikujem s podvodníkmi, no stále som si nebol istý. Vedel som, že ich podvod nebude fungovať, ak si rezervujem cez Airbnb. Airbnb má dobre zavedený postup riešenia sporov a ja dokážem rýchlo dokázať, že mám pravdu a dostať svoje peniaze späť.
Ukázal som inzerát priateľovi a povedal, že nejde o podvod. Mali sme sa staviť, pretože som mal nakoniec pravdu. Potom som sa však rozhodol skontrolovať, či ide o podvod alebo nie, a preto som stále požiadal o odkaz na Airbnb.
Požiadali ma, aby som počkal. Cakat na co? A z nejakého dôvodu mi poradili, aby som si ich zoznam na Airbnb našiel sám. To bolo tiež dosť zvláštne a nevidel som v tom žiadny zmysel. Ak sa ma pokúšali podviesť, potom bolo zbytočné žiadať, aby som si rezervoval ich miesto na Airbnb.
Ale počkať... na Airbnb som to nenašiel. A potom som si znova vypýtal odkaz...
Poslali to. Vyzeralo to ako skutočné a malo doménu airbnb.com. Ale keďže to nebol môj prvý lov na phishingových podvodníkov, skontroloval som skutočnú adresu odkazu v textovej verzii listu (URL Destination). Ako sa hovorí, nájdite dva rozdiely:
Q.E.D!
Toto je pravda. Toto je phishingový odkaz. Poďme sa pozrieť.
Táto snímka obrazovky bola urobená niekoľko dní po mojom prvom vyšetrovaní, keď Chrome nestihol označiť túto adresu URL ako nebezpečnú. Phishingová stránka je vytvorená perfektne! Je interaktívny a vyzerá presvedčivo. Preto môžem ľahko priznať, že kto nepochybuje o pôvode URL, môže ľahko prepadnúť podvodníkom.
Skvelé falošné recenzie: 5/5. Pokračujte v phishingu, ide vám to skvele!
Netestoval som tlačidlo Požiadať o rezerváciu, ale som si istý, že by ma zaviedlo na phishingovú stránku, kde by boli údaje o mojej karte úspešne ukradnuté. Ďakujem, možno inokedy.
Prečo som bol tak ohromený?
Tím podvodníkov – a som si istý, že to bol tím – odviedol skvelú prácu s vysokou úrovňou detailov. Ich angličtina je perfektná, ich e-maily vyzerajú profesionálne, ich phishingová stránka vyzerá ako Airbnb. Presmerovanie na hibernia.ca je nakonfigurované z adresy engineers-hibernia-chevron.ca. To vybuduje dôveru v tých, ktorí chcú skontrolovať svoju doménu.
Ešte viac na mňa zapôsobia ich rafinované psychologické triky. V každej fáze interakcie so mnou zanechali jeden nejasný bod, ktorý som si s nimi musel vyjasniť, aby som sa ďalej posúval k svojmu cieľu. Je oveľa jednoduchšie vycítiť, že niečo nie je v poriadku, ak sa vás pýtajú otázky. A ak ste to vy, kto kladie otázky, je oveľa ťažšie sa ich pýtať na veci, ktoré sa vám zdajú zvláštne. Pretože ste sa už pýtali dosť a zdá sa, že strácate čas od zaneprázdnených ľudí.
Najprv ich inzerát nemal telefónne číslo, tak som bol nútený si ho vypýtať. Potom ma nasmerovali na webovú stránku Airbnb a požiadal som o odkaz. Ale prvýkrát to nedali, takže som bol nútený znova sa opýtať. Toto všetko bolo vopred naplánované.
Počas rozhovoru tiež spomenuli, že o ich bývanie sa zaujímali aj iní ľudia, pričom si zachovali vierohodný pocit obmedzeného času, kedy som sa musel rozhodnúť. Nakoniec, používanie Airbnb ako phishingovej stránky bolo inteligentné, pretože vytvorilo zdanie dôveryhodného sprostredkovateľa. Najprv som bol naozaj zmätený, pretože som nemohol pochopiť, ako plánujú ukradnúť moje údaje. Ak by jednoducho požiadali o informácie o banke alebo kreditnej karte v počiatočnej fáze komunikácie, ich podvod by bolo ľahké odhaliť a odhaliť.
Ako sa pred tým chrániť? Pár tipov
Pri komunikácii s neznámymi ľuďmi online si vždy skontrolujte pôvod ich odkazov! Zvyčajne jednoduché kliknutie na odkaz nepoškodí, ale v niektorých prípadoch to stačí. Nebol som si 100% istý, že ide o phishingový podvod, kým som neobjavil falošnú webovú adresu Airbnb.
Upozorňujeme, že e-mailové adresy odosielateľov môžu byť sfalšované a názvy domén sa nemusia zhodovať s tým, ako vyzerajú. Od ktorého ste dostali e-mail [chránené e-mailom], neznamená, že FBI vám poslala e-mail.
Hľadajte známky toho, že vás niekto vodí za nos. Snažia sa vás presvedčiť, že sú to skutoční ľudia, ktorí s vami hovoria? Snažia sa vás prinútiť konať rýchlejšie?
Na overenie identity použite viacero metód. Prvým alarmom bolo, že podvodník údajne mohol komunikovať iba e-mailom. Ak niekto ponúka komunikáciu na diaľku, dohodnite si videohovor, vyhľadajte a porovnajte svoje účty na linkedin, facebooku atď.
Dúfam, že sa vám príprava páčila.
Sledujte nášho vývojára na Instagrame
Zdroj: hab.com