Нещодавно я став жертвою (на щастя, невдалою) атаки фішингу. Кілька тижнів тому я бродив сайтами Craigslist та Zillow: я хотів орендувати житло в районі затоки Сан-Франциско.
Моя увага привернула симпатичні фото одного містечка, і мені захотілося зв'язатися з орендодавцями і дізнатися про нього детальніше. Незважаючи на мій досвід як спеціаліст з безпеки, я не розумів, що зі мною спілкуються шахраї, аж до третього листа! Нижче я докладно розповім розберу кейс разом із скріншотами та тривожними дзвіночками.
Я пишу це, щоб проілюструвати, що добре підготовлені атаки фішингу можуть виглядати дуже переконливо. Безпеки часто рекомендують звертати увагу на граматику та оформлення, щоб захиститися від фішингу: нібито у шахраїв слабке знання мови та недбале ставлення до візуального оформлення. У деяких випадках це справді працює, але в моєму кейсі не допомогло. Найвитонченіші шахраї пишуть хорошою мовою і створюють ілюзію відповідності всім писаним і неписаним правилам, намагаючись виправдати пов'язані з цим очікування жертви.
Перші листи: турбуватися загалом нема про що
У оголошенні на craiglist було сказано, щоб усі зацікавлені особи дзвонили телефоном. Проте самого номера телефону там не було. Я подумав, що це сталося через недогляд, оскільки багато оголошень грішать тим же. Тоді я вирішив написати орендодавцю та попросити у нього номер, а також повідомити свій.
У відповідь той написав, що я можу зв'язатися з ним по e-mail: [захищено електронною поштою]. Ви могли б подумати, що це мені вже здалося дивним. Однак пошук житла на таких ресурсах часто пов'язаний із якимись проблемами з номерами телефонів, поштовими скриньками та дивними обхідними маневрами. Тому я просто написав листа на цей email і отримав таку відповідь:
Орендодавець ставить цілком типові питання: "Коли плануєте заїхати?", "Скільки людей з вами житиме?", "Який ваш річний дохід?"
І тут я не здогадався, що спілкуюсь із шахраями
Орендодавець повідомив, що він часто і довго знаходиться далеко від будинку, а тепер буде у від'їзді цілих два роки. Мені здалося це трохи дивним, але у всіх свої обставини, мало що. Тим більше, багато орендодавців, з якими я спілкувався, говорили те саме. А питання, поставлені мені в листі, здалися цілком доречними. Отже, я продовжив спілкування і відповів на них.
Далі я отримав такий лист:
«У мене тут немає мобільного зв'язку, я маю доступ лише до свого робочого комп'ютера. Ми продовжимо спілкуватися по email, якщо це ок для вас»
«житло хочуть подивитись 3 особи. Я не маю часу зустрічатися з кожним з вас. Я дам вам посилання… там ви зможете забронювати собі місце (передоплату за 1 місяць оренди, а також депозит, що відшкодовується). Якщо ви раніше не користувалися Airbnb, це досить просто…».
Тривожні дзвіночки почалися саме тут. Отримавши цей лист, я вже на 80-90 відсотків був упевнений, що це шахраї
Перший тривожний дзвінок: «У мене тут немає мобільного зв'язку, я маю доступ лише до свого комп'ютера. Ми продовжимо спілкуватися по email, якщо це ок для вас». Другий – дивна поява Airbnb у нашій розмові.
Чому вони хотіли, щоб я заплатив саме через Airbnb?
Третій дзвінок - це занадто велика кількість фотографій, що підтверджують, що це справжня людина. Але якщо особистість не фейкова, то навіщо так намагатися переконати мене в цьому?
Однак Airbnb мене реально збив з пантелику. Тут я вже почав сильно підозрювати, що спілкуюся з шахраями, але все ж таки, не був впевнений. Я розумів, що їхнє шахрайство не спрацює, якщо я забронюю житло через Airbnb. Airbnb має добре налагоджену процедуру вирішення суперечок і я швидко зможу довести свою правоту і повернути гроші.
Я показав оголошення другові, і він заявив, що це не афера. Нам варто було укласти парі, тому що в результаті прав виявився я. Але тоді я вирішив перевірити, шахрайство це чи ні і тому таки попросив посилання на Airbnb.
Попросили зачекати. Зачекати на що? І навіщось порадили мені самостійно відшукати на Airbnb їхнє оголошення. Це теж було досить дивно, і я не бачив у цьому жодного сенсу. Якщо вони намагалися надути мене, то просити мене забронювати їхнє житло на Airbnb було безглуздо.
Але стоп… Я не зміг знайти його на Airbnb. І тоді я попросив заслання ще раз…
Вони надіслали її. Вона була схожа на справжньою та мала домен airbnb.com. Але так як це було не перше моє полювання на фішингових аферистів, я перевірив реальну адресу посилання в текстовій версії листа (URL Destination). Як кажуть, знайдіть дві відмінності:
Що й потрібно було довести!
Так і є. Це фішингове посилання. Давайте подивимося.
Цей скріншот зроблено через кілька днів після мого першого розслідування, тоді Chrome не встиг помітити цю URL-адресу як небезпечний. Фішинговий сайт зроблений просто на відмінно! Він інтерактивний та виглядає переконливо. Тому я легко можу припустити, що на вудку шахраїв можуть запросто потрапити ті, хто не засумнівається походженням URL.
Чудові фейкові відгуки: 5/5. Продовжуйте займатися фішингом, у вас добре виходить!
Я не перевіряв кнопку Request to Book, але впевнений, що вона привела б мене на фішингову сторінку, де дані моєї картки були б успішно вкрадені. Дякую, може іншим разом.
Чому я залишився так вражений?
Команда шахраїв — а я впевнений, що це була команда — виконала величезну роботу з високим рівнем деталізації. У них ідеальна англійська, їхні листи виглядають професійно, їхній фішинговий сайт виглядає як Airbnb. З адреси engineers-hibernia-chevron.ca налаштовано редирект на hibernia.ca. Це викликає довіру у тих, хто захоче перевірити їхній домен.
Ще більше я вражений їх тонкими психологічними хитрощами. На кожному етапі взаємодії зі мною вони залишали один неясний момент, який я мав уточнити у них, щоб далі рухатися до своєї мети. Набагато простіше відчути щось недобре, якщо питання задають вам. А якщо запитання ставите ви, стає набагато важче продовжувати запитувати їх про те, що вам здається дивним. Тому що ви і так вже запитали досить і ніби забираєте час у зайнятих людей.
Спочатку в їхньому оголошенні не було номера телефону, і я був змушений попросити його. Потім вони послали мене на сайт Airbnb, і я попросив посилання. Але вперше вони не дали її, тому я знову змушений був просити. Все це було сплановано наперед.
Під час спілкування вони також згадували, що інші люди теж цікавилися їхнім житлом, підтримуючи правдоподібне відчуття обмеженого часу, коли я маю ухвалити рішення. Нарешті, використання Airbnb як фішинговий сайт було розумним, оскільки створювало враження довіреного посередника. Спочатку я був реально спантеличений, тому що не міг зрозуміти, як вони планують вкрасти мої дані. Якби вони просто запросили інформацію про банк або кредитну картку на початковому етапі спілкування, виявити і розкрити їхню аферу було б легко.
Як убезпечити себе від такого? Декілька порад
Спілкуючись із незнайомими людьми онлайн, завжди перевіряйте походження їхніх посилань! Зазвичай простий перехід за посиланням не завдає шкоди, але в деяких випадках цього достатньо. Я не був на 100% впевнений, що це фішингова афера, поки не вивів на чисту воду фальшиву URL-адресу Airbnb.
Помните, что адреса электронной почты отправителя могут быть подделаны, а доменные имена могут не совпадать с их отображением. То, что вы получили электронное письмо от [захищено електронною поштою], не означает, что электронное письмо вам отправило ФБР.
Шукайте ознаки того, що хтось водить вас за носа. Чи вони намагаються переконати вас у тому, що з вами спілкуються реальні люди? Чи намагаються вони змусити вас діяти швидше?
Використовуйте кілька способів перевірки особистості. Першим тривожним дзвінком було те, що шахрай нібито може спілкуватися лише електронною поштою. Якщо хтось пропонує спілкуватися віддалено, домовляйтеся про відеодзвінок, шукайте та порівнюйте його облікові записи linkedin, facebook і так далі.
Сподіваюся, вам сподобалася препарація.
Підписуйтесь на нашого розробника в Instagram
Джерело: habr.com