История одной фишинговой -аферы.

Работать исключительно через ГАРАНТ.
TRUST

TRUST

Опытный
ЗАБАНЕН
Старожил
Регистрация
10/6/17
Сообщения
1.110
Репутация
5.078
Реакции
5.307
RUB
0
Сделок через гаранта
3
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Автор:


Недавно я стал жертвой (к счастью, неудачной) фишинговой атаки. Несколько недель назад я бродил по сайтам Craigslist и Zillow: я хотел арендовать жилье в районе залива Сан-Франциско.
Мое внимание привлекли симпатичные фото одного местечка, и мне захотелось связаться с арендодателями и узнать о нем поподробнее. Несмотря на мой опыт в качестве специалиста по безопасности, я не понимал, что со мной общаются мошенники, вплоть до третьего письма! Ниже я подробно расскажу разберу кейс вместе со скриншотами и тревожными звоночками.

Я пишу это, чтобы проиллюстрировать, что хорошо подготовленные фишинговые атаки могут выглядеть очень убедительно. Безопасники часто рекомендуют обращать внимание на грамматику и оформление, чтобы защититься от фишинга: якобы у мошенников слабое знание языка и небрежное отношение к визуальному оформлению. В некоторых случаях это действительно работает, но в моем кейсе не помогло. Самые изощренные мошенники пишут на хорошем языке и создают иллюзию соответствия всем писаным и неписаным правилам, стараясь оправдать связанные с этим ожидания жертвы.


p9s-j7_stdocvsvfx7ysttv2zvi.png



Первые письма: беспокоиться в общем не о чем

В объявлении на craiglist было сказано, чтобы все заинтересованные лица звонили по телефону. Однако самого номера телефона там не оказалось. Я подумал, что это произошло по недосмотру, так как многие объявления грешат тем же. Тогда я решил написать арендодателю и попросить у него номер, а также сообщить свой.

В ответ тот написал, что я могу связаться с ним по email: [email protected]. Вы могли бы подумать, что уже это должно было мне показаться странным. Однако поиск жилья на таких ресурсах часто связан с каким-то заморочками с номерами телефонов, почтовыми ящиками и странными обходными маневрами. Поэтому я просто написал письмо на этот email и получил такой ответ:


gey4pequ_2pqaatmf5s0w5jkuuw.png


Арендодатель задаёт вполне типичные вопросы: «Когда планируете заехать?», «Сколько людей с вами будет жить?», «Каков ваш годовой доход?»

И тут я не догадался, что общаюсь с мошенниками

Арендодатель сообщил, что он часто и подолгу находится далеко от дома, а теперь будет в отъезде целых два года. Мне показалось это немного странным, но у всех свои обстоятельства, мало ли что. Тем более, многие арендодатели, с которыми я общался, говорили то же самое. А вопросы, заданные мне в письме, показались вполне уместными. Так что я продолжил общение и ответил на них.

Далее я получил такое письмо:


jlnrc9p_hbk13hxk-2pbbm_dh6y.png


«У меня тут нет мобильной связи, я имею доступ только к своему рабочему компьютеру. Мы продолжим общаться по email, если это ок для вас»
«жилье хотят посмотреть 3 человека. У меня нет времени встречаться с каждым из вас. Я дам вам ссылку… там вы сможете забронировать себе место (предоплату за 1 месяц аренды, а также возмещаемый депозит). Если вы раньше не пользовались Airbnb, это достаточно легко...».


Тревожные звоночки начались именно здесь. Получив это письмо, я уже на 80-90% был уверен, что это мошенники

Первый тревожный звоночек: «У меня тут нет мобильной связи, я имею доступ только к своему рабочему компьютеру. Мы продолжим общаться по email, если это ок для вас». Второй — странное появление Airbnb в нашей беседе.

Почему они хотели, чтобы я заплатил именно через Airbnb?

Третий звоночек — это слишком большое количество фотографий, подтверждающих, что это реальный человек. Но если личность не фейковая, то зачем так стараться убедить меня в этом?
Однако Airbnb меня реально сбил с толку. Тут я уже начал сильно подозревать, что общаюсь с мошенниками, но все же, не был уверен. Я понимал, что их мошенничество не сработает, если я забронирую жилье через Airbnb. У Airbnb хорошо отлаженная процедура разрешения споров и я быстро смогу доказать свою правоту и вернуть деньги.

Я показал объявление другу и он заявил, что это не афера. Нам стоило заключить пари, потому что в итоге прав оказался я. Но тогда я решил проверить, мошенничество это или нет и поэтому все-таки попросил ссылку на Airbnb.


wkrxqgbpapzomdmenthyqihzlpa.png



Попросили подождать. Подождать чего? И зачем-то посоветовали мне самостоятельно отыскать на Airbnb их объявление. Это тоже было довольно странно, и я не видел в этом никакого смысла. Но стоп… Я не смог найти его на Airbnb. И тогда я попросил ссылку еще раз…


kurcx7rg4txbe8dzcym4wgolj8q.png



Они прислали ее. Она выглядела как настоящая и имела домен airbnb.com. Но так как это была не первая моя охота на фишинговых аферистов, я проверил реальный адрес ссылки в текстовой версии письма (URL Destination). Как говорится, найдите два отличия:


wne0ztiuxfftzkee7oiy1xbiijk.png



Что и требовалось доказать!

Так и есть. Это фишинговая ссылка. Давайте посмотрим.


c8pqg6g528_ilgevlczyighxecy.png




Этот скриншот сделан через несколько дней после моего первого расследования, тогда Chrome не успел пометить этот URL как опасный. Фишинговый сайт сделан просто на отлично! Он интерактивный и выглядит убедительно. Поэтому я легко могу допустить, что на удочку мошенников могут запросто попасть те, кто не усомнится в происхождении URL.


oe8fis3jjcl1uxa6okig319nxpa.png



Я не проверял кнопку Request to Book, но уверен, что она бы привела меня на фишинговую страницу, где данные моей карты были бы успешно украдены. Спасибо, может в другой раз.


Почему я остался так впечатлен?

Команда мошенников — а я уверен, что это была команда — проделала огромную работу с высоким уровнем детализации. У них идеальный английский, их письма выглядят профессионально, их фишинговый сайт выглядит как Airbnb. С адреса engineers-hibernia-chevron.ca настроен редирект на hibernia.ca. Это вызовет доверие у тех, кто захочет проверить их домен.

Еще больше я впечатлен их тонкими психологическими уловками. На каждом этапе взаимодействия со мной они оставляли один неясный момент, который я должен был уточнить у них, чтобы дальше двигаться к своей цели. Намного проще почувствовать что-то неладное, если вопросы задают вам. А если вопросы задаете вы, то становится намного труднее продолжать спрашивать их о том, что вам кажется странным. Потому что вы и так уже спросили достаточно и как будто отнимаете время у занятых людей.

Сначала в их объявлении не оказалось номера телефона, и я был вынужден попросить его. Затем они направили меня на сайт Airbnb, и я попросил ссылку. Но в первый раз они не дали ее, поэтому я вновь был вынужден просить. Все это было спланировано заранее.

Во время общения они также упоминали, что другие люди тоже интересовались их жильем, поддерживая правдоподобное ощущение ограниченного времени, когда я должен принять решение. Наконец, использование Airbnb в качестве фишингового сайта было разумным, поскольку создавало впечатление доверенного посредника. Сначала я был реально сбит с толку, потому что не мог понять, как они планируют украсть мои данные. Если бы они просто запросили информацию о банке или кредитной карте на начальном этапе общения, обнаружить и раскрыть их аферу было бы легко.
 
Техничный фишинг :hat:молодец, что выкупил тему - развода ...!
 
Начал замечать за собой что высокий уровень знания в IT ( в сравнение со средне статистическим пользователем ) начал играть со мной злую шутку т.к. я стал менее внимателен.

Думая что я на такие штуки никогда не попадался и не попадусь бдительность у меня серьезно упала!
Несколько раз останавливал себя до ввода последних цифр карты на сайте и заставлял себя проверить ссылку по поиску. Что в итоге и спасало.

т.е. интересно что не только уровень осведомленности жертвы играет на пользу в этом деле, но и лень)
Вывод. Нужно учить себя стоической дисциплине до последнего момента во всем)) Особенно если все кажется надежным и безопасным.
 
Сверху Снизу