Недавно я стал жертвой (к счастью, неудачной) фишинговой атаки. Несколько недель назад я бродил по сайтам Craigslist и Zillow: я хотел арендовать жилье в районе залива Сан-Франциско.
Мое внимание привлекли симпатичные фото одного местечка, и мне захотелось связаться с арендодателями и узнать о нем поподробнее. Несмотря на мой опыт в качестве специалиста по безопасности, я не понимал, что со мной общаются мошенники, вплоть до третьего письма! Ниже я подробно расскажу разберу кейс вместе со скриншотами и тревожными звоночками.
Я пишу это, чтобы проиллюстрировать, что хорошо подготовленные фишинговые атаки могут выглядеть очень убедительно. Безопасники часто рекомендуют обращать внимание на грамматику и оформление, чтобы защититься от фишинга: якобы у мошенников слабое знание языка и небрежное отношение к визуальному оформлению. В некоторых случаях это действительно работает, но в моем кейсе не помогло. Самые изощренные мошенники пишут на хорошем языке и создают иллюзию соответствия всем писаным и неписаным правилам, стараясь оправдать связанные с этим ожидания жертвы.
Первые письма: беспокоиться в общем не о чем
В объявлении на craiglist было сказано, чтобы все заинтересованные лица звонили по телефону. Однако самого номера телефона там не оказалось. Я подумал, что это произошло по недосмотру, так как многие объявления грешат тем же. Тогда я решил написать арендодателю и попросить у него номер, а также сообщить свой.
В ответ тот написал, что я могу связаться с ним по email: davidgrinde@engineers-hibernia-chevron.ca. Вы могли бы подумать, что уже это должно было мне показаться странным. Однако поиск жилья на таких ресурсах часто связан с каким-то заморочками с номерами телефонов, почтовыми ящиками и странными обходными маневрами. Поэтому я просто написал письмо на этот email и получил такой ответ:
Арендодатель задаёт вполне типичные вопросы: «Когда планируете заехать?», «Сколько людей с вами будет жить?», «Каков ваш годовой доход?»
И тут я не догадался, что общаюсь с мошенниками
Арендодатель сообщил, что он часто и подолгу находится далеко от дома, а теперь будет в отъезде целых два года. Мне показалось это немного странным, но у всех свои обстоятельства, мало ли что. Тем более, многие арендодатели, с которыми я общался, говорили то же самое. А вопросы, заданные мне в письме, показались вполне уместными. Так что я продолжил общение и ответил на них.
Далее я получил такое письмо:
«У меня тут нет мобильной связи, я имею доступ только к своему рабочему компьютеру. Мы продолжим общаться по email, если это ок для вас»
«жилье хотят посмотреть 3 человека. У меня нет времени встречаться с каждым из вас. Я дам вам ссылку… там вы сможете забронировать себе место (предоплату за 1 месяц аренды, а также возмещаемый депозит). Если вы раньше не пользовались Airbnb, это достаточно легко...».
Тревожные звоночки начались именно здесь. Получив это письмо, я уже на 80-90% был уверен, что это мошенники
Первый тревожный звоночек: «У меня тут нет мобильной связи, я имею доступ только к своему рабочему компьютеру. Мы продолжим общаться по email, если это ок для вас». Второй — странное появление Airbnb в нашей беседе.
Почему они хотели, чтобы я заплатил именно через Airbnb?
Третий звоночек — это слишком большое количество фотографий, подтверждающих, что это реальный человек. Но если личность не фейковая, то зачем так стараться убедить меня в этом?
Однако Airbnb меня реально сбил с толку. Тут я уже начал сильно подозревать, что общаюсь с мошенниками, но все же, не был уверен. Я понимал, что их мошенничество не сработает, если я забронирую жилье через Airbnb. У Airbnb хорошо отлаженная процедура разрешения споров и я быстро смогу доказать свою правоту и вернуть деньги.
Я показал объявление другу и он заявил, что это не афера. Нам стоило заключить пари, потому что в итоге прав оказался я. Но тогда я решил проверить, мошенничество это или нет и поэтому все-таки попросил ссылку на Airbnb.
Попросили подождать. Подождать чего? И зачем-то посоветовали мне самостоятельно отыскать на Airbnb их объявление. Это тоже было довольно странно, и я не видел в этом никакого смысла. Но стоп… Я не смог найти его на Airbnb. И тогда я попросил ссылку еще раз…
Они прислали ее. Она выглядела как настоящая и имела домен airbnb.com. Но так как это была не первая моя охота на фишинговых аферистов, я проверил реальный адрес ссылки в текстовой версии письма (URL Destination). Как говорится, найдите два отличия:
Что и требовалось доказать!
Так и есть. Это фишинговая ссылка. Давайте посмотрим.
Этот скриншот сделан через несколько дней после моего первого расследования, тогда Chrome не успел пометить этот URL как опасный. Фишинговый сайт сделан просто на отлично! Он интерактивный и выглядит убедительно. Поэтому я легко могу допустить, что на удочку мошенников могут запросто попасть те, кто не усомнится в происхождении URL.
Я не проверял кнопку Request to Book, но уверен, что она бы привела меня на фишинговую страницу, где данные моей карты были бы успешно украдены. Спасибо, может в другой раз.
Почему я остался так впечатлен?
Команда мошенников — а я уверен, что это была команда — проделала огромную работу с высоким уровнем детализации. У них идеальный английский, их письма выглядят профессионально, их фишинговый сайт выглядит как Airbnb. С адреса engineers-hibernia-chevron.ca настроен редирект на hibernia.ca. Это вызовет доверие у тех, кто захочет проверить их домен.
Еще больше я впечатлен их тонкими психологическими уловками. На каждом этапе взаимодействия со мной они оставляли один неясный момент, который я должен был уточнить у них, чтобы дальше двигаться к своей цели. Намного проще почувствовать что-то неладное, если вопросы задают вам. А если вопросы задаете вы, то становится намного труднее продолжать спрашивать их о том, что вам кажется странным. Потому что вы и так уже спросили достаточно и как будто отнимаете время у занятых людей.
Сначала в их объявлении не оказалось номера телефона, и я был вынужден попросить его. Затем они направили меня на сайт Airbnb, и я попросил ссылку. Но в первый раз они не дали ее, поэтому я вновь был вынужден просить. Все это было спланировано заранее.
Во время общения они также упоминали, что другие люди тоже интересовались их жильем, поддерживая правдоподобное ощущение ограниченного времени, когда я должен принять решение. Наконец, использование Airbnb в качестве фишингового сайта было разумным, поскольку создавало впечатление доверенного посредника. Сначала я был реально сбит с толку, потому что не мог понять, как они планируют украсть мои данные. Если бы они просто запросили информацию о банке или кредитной карте на начальном этапе общения, обнаружить и раскрыть их аферу было бы легко.
Автор оригинала: Jeffrey Ladish
перевод @ owlnagi
Мое внимание привлекли симпатичные фото одного местечка, и мне захотелось связаться с арендодателями и узнать о нем поподробнее. Несмотря на мой опыт в качестве специалиста по безопасности, я не понимал, что со мной общаются мошенники, вплоть до третьего письма! Ниже я подробно расскажу разберу кейс вместе со скриншотами и тревожными звоночками.
Я пишу это, чтобы проиллюстрировать, что хорошо подготовленные фишинговые атаки могут выглядеть очень убедительно. Безопасники часто рекомендуют обращать внимание на грамматику и оформление, чтобы защититься от фишинга: якобы у мошенников слабое знание языка и небрежное отношение к визуальному оформлению. В некоторых случаях это действительно работает, но в моем кейсе не помогло. Самые изощренные мошенники пишут на хорошем языке и создают иллюзию соответствия всем писаным и неписаным правилам, стараясь оправдать связанные с этим ожидания жертвы.
Первые письма: беспокоиться в общем не о чем
В объявлении на craiglist было сказано, чтобы все заинтересованные лица звонили по телефону. Однако самого номера телефона там не оказалось. Я подумал, что это произошло по недосмотру, так как многие объявления грешат тем же. Тогда я решил написать арендодателю и попросить у него номер, а также сообщить свой.
В ответ тот написал, что я могу связаться с ним по email: davidgrinde@engineers-hibernia-chevron.ca. Вы могли бы подумать, что уже это должно было мне показаться странным. Однако поиск жилья на таких ресурсах часто связан с каким-то заморочками с номерами телефонов, почтовыми ящиками и странными обходными маневрами. Поэтому я просто написал письмо на этот email и получил такой ответ:
Арендодатель задаёт вполне типичные вопросы: «Когда планируете заехать?», «Сколько людей с вами будет жить?», «Каков ваш годовой доход?»
И тут я не догадался, что общаюсь с мошенниками
Арендодатель сообщил, что он часто и подолгу находится далеко от дома, а теперь будет в отъезде целых два года. Мне показалось это немного странным, но у всех свои обстоятельства, мало ли что. Тем более, многие арендодатели, с которыми я общался, говорили то же самое. А вопросы, заданные мне в письме, показались вполне уместными. Так что я продолжил общение и ответил на них.
Далее я получил такое письмо:
«У меня тут нет мобильной связи, я имею доступ только к своему рабочему компьютеру. Мы продолжим общаться по email, если это ок для вас»
«жилье хотят посмотреть 3 человека. У меня нет времени встречаться с каждым из вас. Я дам вам ссылку… там вы сможете забронировать себе место (предоплату за 1 месяц аренды, а также возмещаемый депозит). Если вы раньше не пользовались Airbnb, это достаточно легко...».
Тревожные звоночки начались именно здесь. Получив это письмо, я уже на 80-90% был уверен, что это мошенники
Первый тревожный звоночек: «У меня тут нет мобильной связи, я имею доступ только к своему рабочему компьютеру. Мы продолжим общаться по email, если это ок для вас». Второй — странное появление Airbnb в нашей беседе.
Почему они хотели, чтобы я заплатил именно через Airbnb?
Третий звоночек — это слишком большое количество фотографий, подтверждающих, что это реальный человек. Но если личность не фейковая, то зачем так стараться убедить меня в этом?
Однако Airbnb меня реально сбил с толку. Тут я уже начал сильно подозревать, что общаюсь с мошенниками, но все же, не был уверен. Я понимал, что их мошенничество не сработает, если я забронирую жилье через Airbnb. У Airbnb хорошо отлаженная процедура разрешения споров и я быстро смогу доказать свою правоту и вернуть деньги.
Я показал объявление другу и он заявил, что это не афера. Нам стоило заключить пари, потому что в итоге прав оказался я. Но тогда я решил проверить, мошенничество это или нет и поэтому все-таки попросил ссылку на Airbnb.
Попросили подождать. Подождать чего? И зачем-то посоветовали мне самостоятельно отыскать на Airbnb их объявление. Это тоже было довольно странно, и я не видел в этом никакого смысла. Но стоп… Я не смог найти его на Airbnb. И тогда я попросил ссылку еще раз…
Они прислали ее. Она выглядела как настоящая и имела домен airbnb.com. Но так как это была не первая моя охота на фишинговых аферистов, я проверил реальный адрес ссылки в текстовой версии письма (URL Destination). Как говорится, найдите два отличия:
Что и требовалось доказать!
Так и есть. Это фишинговая ссылка. Давайте посмотрим.
Этот скриншот сделан через несколько дней после моего первого расследования, тогда Chrome не успел пометить этот URL как опасный. Фишинговый сайт сделан просто на отлично! Он интерактивный и выглядит убедительно. Поэтому я легко могу допустить, что на удочку мошенников могут запросто попасть те, кто не усомнится в происхождении URL.
Я не проверял кнопку Request to Book, но уверен, что она бы привела меня на фишинговую страницу, где данные моей карты были бы успешно украдены. Спасибо, может в другой раз.
Почему я остался так впечатлен?
Команда мошенников — а я уверен, что это была команда — проделала огромную работу с высоким уровнем детализации. У них идеальный английский, их письма выглядят профессионально, их фишинговый сайт выглядит как Airbnb. С адреса engineers-hibernia-chevron.ca настроен редирект на hibernia.ca. Это вызовет доверие у тех, кто захочет проверить их домен.
Еще больше я впечатлен их тонкими психологическими уловками. На каждом этапе взаимодействия со мной они оставляли один неясный момент, который я должен был уточнить у них, чтобы дальше двигаться к своей цели. Намного проще почувствовать что-то неладное, если вопросы задают вам. А если вопросы задаете вы, то становится намного труднее продолжать спрашивать их о том, что вам кажется странным. Потому что вы и так уже спросили достаточно и как будто отнимаете время у занятых людей.
Сначала в их объявлении не оказалось номера телефона, и я был вынужден попросить его. Затем они направили меня на сайт Airbnb, и я попросил ссылку. Но в первый раз они не дали ее, поэтому я вновь был вынужден просить. Все это было спланировано заранее.
Во время общения они также упоминали, что другие люди тоже интересовались их жильем, поддерживая правдоподобное ощущение ограниченного времени, когда я должен принять решение. Наконец, использование Airbnb в качестве фишингового сайта было разумным, поскольку создавало впечатление доверенного посредника. Сначала я был реально сбит с толку, потому что не мог понять, как они планируют украсть мои данные. Если бы они просто запросили информацию о банке или кредитной карте на начальном этапе общения, обнаружить и раскрыть их аферу было бы легко.
Автор оригинала: Jeffrey Ladish
перевод @ owlnagi
