• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Гостевая статья Анатомия арендаторского фишинга 🎣

Анатомия арендаторского фишинга

Недавно я был (неудачной) мишенью очень хорошо разработанной фишинг-атаки. В рамках поиска жилья несколько недель назад я штудировал крейгслист и жёлтые страницы для возможности аренды в районе залива SF. Меня привлекло одно красивое место. Несмотря на мой опыт в качестве специалиста по безопасности, я не осознавал, что это мошенничество, примерно до третьего письма! Ниже я подробно расскажу историю, включая скриншоты.

Я пишу это, чтобы показать, что лучшие фишинговые атаки будут выглядеть очень убедительно . Часто людям говорят, что нужно следить за плохой грамматикой и форматом для защиты от фишинга. Это будет работать в некоторых случаях, но не в тех случаях, которые я собираюсь показать. Изощренные мошенники используют хороший английский и закономерность.

Список 🗒
phishing1.png

Начальные письма 📫

Реклама Craigslist попросила серьезных кандидатов позвонить, но не указала номер телефона. Я думал, что это просто упущение, так как во многих других рекламных объявлениях, которые я видел, отсутствовала такая информация. Я ответил через craigslist, сказав, что мне это интересно, спросил номер телефона и предоставил свой.

Я получаю текст от арендодателя, в котором говорится, что должен связаться с ним по адресу «davidgrinde@engineers-hibernia-chevron.ca». Вы могли бы подумать, что это показалось бы странным для меня, но, честно говоря, поиск аренды включал много нелепостей в отношении номера телефона, электронных писем и обходных путей. Я отправил электронное письмо на тот адрес, на который человек ответил так:
phishing2.png

На данный момент я все еще не понял, что это афера 🙃
Тот факт, что хозяин говорит, что он в большинстве случаев отсутствует, казался немного необычным, но не настолько. Множество помещиков, с которыми я связывался в этом поиске, жили далеко. Вопросы, перечисленные здесь, являются довольно нормальными вопросами, и я пошел дальше и ответил на них.

Я получил следующий ответ:
phishing3.png

RED FLAGS начались здесь. С этим письмом я был на 80-90% уверен, что это афера 🕵️‍♀️
Первым красным флажком было «Так что мы будем держать наше общение по электронной почте, если это вас устраивает». Второй была странность о Airbnb. Почему они хотят, чтобы я платил через Airbnb? Третьим было чрезмерное количество фотографий, чтобы убедить меня, что это был настоящий человек. Если он был на самом деле реальным человеком, почему так старался убедить меня?

В этот момент я понял, что это была фишинговая афера, но я не был уверен. Я был почти уверен, что их мошенничество не сработает, если я на самом деле забронирую их место через Airbnb, поскольку Airbnb имеет довольно хороший процесс разрешения споров и довольно быстро решит подобные вещи. Я показал друзьям это объявление, и они подумали, что это не афера. Мы должны были сделать ставку, потому что ситуация была выиграшной.

На данный момент я решил разобраться во всем, поэтому я попросил ссылку на Airbnb.
phishing4.png

Чего ждать? Они хотели, чтобы я поискал в Airbnb их список. Это было странно, но это не имело никакого смысла. Если они пытались обмануть меня, бронирование места на Airbnb не было разумным способом сделать это.

Но подождите, я не смог найти их место на Airbnb. Поэтому я снова попросил ссылку ...

phishing5.png

Они прислали мне ссылку. Это выглядело законно. Видите этот домен «airbnb.com»? Это не мое первое фишинговое родео, поэтому я проверил реальное назначение ссылки. Если посмотреть на обычный текст письма, вот что я вижу:
phishing6.png

Дымящийся пистолет 💨🔫
Это верно, это фишинговый сайт. Давайте проверим это.

phishing7.png

Этот снимок экрана сделан несколько дней спустя. Когда я впервые исследовал, Chrome не отображал предупреждение «Опасный» для URL. Этот фишинговый сайт был хорошо сделан! Это было интерактивно и выглядело довольно убедительно! Я легко могу представить кого-то, кто не обращает пристального внимания на обманчивый URL.
phishing8.png

Отличные поддельные отзывы. 5/5

Я не исследовал ссылку «запрос на бронирование», но уверен, что это привело бы меня на страницу фишинга кредитной карты. Спасибо, может быть в другой раз.

Почему я впечатлен этим? 🤔
Фишинговая команда - а учитывая вовлеченность в работу и уровень подготовки, я уверен, это была команда - провела довольно трудную операцию. Их английский был идеальным, их электронные письма выглядели профессионально, а их фишинговый сайт был идентичен оригинальному сайту Airbnb. Почтовый домен «engineer-hibernia-chevron.ca» перенаправлял на «hibernia.ca», чтобы добавить легитимность тем, кто сделал дополнительный шаг в поиске домена.

Я еще больше впечатлен их тонкими психологическими уловками. На каждом этапе пути они пропускали информацию, которая требовала , чтобы я что-то просил, если я хочу продолжить. Намного легче быть настороже, когда другие спрашивают вас о вещах. Когда вы задаете вопрос, еще сложнее что-то сказать, если все выглядит странно, потому что вы, уже тратите их время. Для первоначального объявления они оставили номер телефона, поэтому мне пришлось попросить. После того, как они сказали мне, что я могу найти их на сайте airbnb, мне пришлось попросить ссылку. Затем, после того, как они послали меня искать на сайте Airbnb, я должен был попросить ссылку еще раз ! Это было специально спланировано!

Во время этих взаимодействий они упоминали, что другие люди тоже интересуютса, поддерживая правдоподобное чувство срочности. Наконец, использование Airbnb в качестве фишингового сайта было разумным, поскольку создавало впечатление доверенного посредника. Сначала я был по-настоящему сбит с толку, потому что не мог понять, как они планируют украсть мою финансовую информацию. Если бы они просто запросили информацию о банке или кредитной карте на раннем этапе, их игру было бы легко раскрыть.

Чтобы защитить себя 🛡
  1. Общаясь с незнакомыми людьми онлайн, всегда проверяйте источник их ссылок! Обычно простое нажатие не повредит вам, но в некоторых случаях этого достаточно. Я не был на 100% уверен, что это фишинговая афера, пока не увидел фальшивый URL-адрес Airbnb, но это подтвердило это.
  2. Помните, что адреса электронной почты отправителя могут быть подделаны, а доменные имена могут не совпадать с их отображением! То, что вы получили электронное письмо от «researchations@fbi.gov», не означает, что ФБР отправило вам электронное письмо.
  3. Ищите признаки того, что кто-то играет с вами. Кажется ли, что они пытаются убедить вас, что они настоящие? Они проецируют чувство срочности?
  4. Используйте несколько каналов для проверки личности. Первым красным флажком был мошенник, сказавший, что они могут взаимодействовать только по электронной почте. Если кто-то удален, имейте с собой видеозвонок и делайте перекрестные ссылки с его linkedin, facebook и т. Д.
Спасибо за игру! 🎮
Я надеюсь, что вы нашли это полезным. Оставайтесь в безопасности!

Источник:
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!