Bywają phishingi świetne. Socjotechniczne perełki, na które złapie się praktycznie każdy. Jednak gros takich ataków to sytuacje pełne migających nam przed oczami czerwonych lampek. Zobaczcie na przykładzie jak wyglądają i pokażcie ten tekst komu możecie. Internauci wciąż łatwo padają ofiarą sieciowych oszustw. Poniżej dla Was analiza jednego z phishingów. Z jednej strony - idealny materiał do tego, by pokazać, na co trzeba uważać, gdzie oszuści robią błędy, które - gdy już wiemy na co patrzeć - stają się oczywiste. Ale pamiętajcie, by nie lekceważyć wroga. Oni nie są głupi, uczą się iza każdą kampanią mogą być coraz lepsi.
Zaczyna się od maila
Mail to ulubiony wektor ataku phishingowego. Najłatwiejszy do przeprowadzenia socjotechnicznych sztuczek, tym bardziej, gdy mail przychodzi od znanej firmy, a w wiadomości pojawia się... nasze imię i nazwisko.
Tak właśnie było. Pani Natalia dostała maila na swój adres, ze swoimi faktycznymi personaliami. To akurat cwane zagranie, może wzbudzić zaufanie, a nie zaniepokojenie. Skąd oszust wziął dane Pani Natalii? Zazwyczaj nie jest to trudne. Zastanówcie się sami, w jak wielu miejscach w sieci wpisaliście swoje imię, nazwisko i mail? Ano właśnie... Jednak już nawet na tym pierwszym obrazku widzimy czerwoną lampkę #1. Co nią jest? Ano adres nadawcy. Mail
[info@xewerta.com]
nie ma nic wspólnego z domniemanym nadawcą, czyli Allegro. No ale załóżmy, że gdy oczy zobaczyły hasło "iPhone!" - przestały patrzeć się w inną stronę. Co prawda go nie zamawialiśmy (lampka #2), no ale skoro już jest? To może jednak kliknę, przecież to tylko pakiet trzeba potwierdzić. A po kliknięciu przechodzimy na stronę
hxxps://www.loudmatch.com (i dalej szczegółowy URL, wpisywanie którego tutaj nie ma sensu).
To nie jest strona Allegro (lampka #3).
Pięć z... trzech pytań
I od razu pojawia się więcej pytań, jeśli tylko przez chwilę pochylimy się nad treścią. Jaka weryfikacja, skoro paczka miała już być gotowa do dostarczenia? (lampka #4) Po co pytają mnie o imię (w kolejnym pytaniu również adres mailowy) skoro to dla mnie miała być ta nagroda? (lampka #5). Dlaczego polska firma używa zwrotu, który w języku polskim jest niegramatyczny „Czy to jest twoje imię Natalia [nazwisko]” (i pisze „twoje” z małej litery)? (lampka #6).
No i skąd się wzięło... piąte z trzech pytań? (lampka #7)
Dobra, to skoro już przebrnęliśmy przez weryfikację, czy mogę potwierdzić tę paczkę z ajfo...
Ej, ale przecież miał być iPhone! Nie telewizor, po co mi jakiś voucher? (lampka #8), Co znaczy „odkryć nagrodę”, przecież to już miała być paczka gotowa do dostarczenia? (lampka #9). Na szczęście jednak po "losowaniu" z czterech nagród faktycznie dostaliśmy iPhone'a!
(tak można by się czepnąć zwrotu „Twój numer (...) jest”, ale odpuśćmy, bierzmy w końcu tę nagrodę!)
To w końcu wygrałem, czy dopiero mam szansę?
Ale jak to... szansa? Przecież to miała być gotowa paczka, do potwierdzenia tylko. I co, znowu mam podać gdzieś moje dane? (lampka #10) A w ogóle to czemu ta strona już nie jest w stylistyce Allegro, a adres jest zupełnie inny? (lampka #11).
Jeśli wpadłby Wam do głowy pomysł: „Dobra, to może jednak wyklikam i dostanę tego iPhone’a” - jednak odradzam. A to dlatego, że na górze ostatniej strony znajdziecie (drobnym druczkiem, ja powiększyłem) to:
To już ostatnia, 12. ostrzegawcza lampka. Phishing, który opisuję, ma tak naprawdę jeden... plus. Czy może inaczej - nie ma kluczowego MINUSA. Tu nikt nie wbije się Wam na konto i nie ukradnie oszczędności życia. W zasadzie to nikt Wam tu niczego nie kradnie. To Wy sami kupujecie niepotrzebną usługę za 284 PLN miesięcznie. Tyle dobrego, że możecie łatwo (tak, wystarczy skontaktować się z obsługą klienta serwisu, do którego dostęp kupiliście) zrezygnować z kolejnych płatności. My oczywiście stronę prowadzącą do tej finalnej zablokowaliśmy.
Czytajcie treści stron, szczególnie wtedy, gdy wydają się być wyjątkowymi okazjami. Zauważajcie wielkie, świecące Wam prosto w oczy czerwone lampki. A linka do tego tekstu prześlijcie wszystkim, co do których macie obawy, że też mogą ich nie zauważyć.
Bądźcie bezpieczni, #zostanciewdomu. I zaglądajcie regularnie na Twittera CERT Orange Polska i naszą stronę - tam piszę na bieżąco, nie tylko w czwartki ;)
Komentarze
Pomysłowość oszustów nie zna granic. Michale fajnie że nas ostrzegasz, ja osobiście bardzo jestem wyczulony na takie „konkursy”, ale wiele osób daje się nabrać na takie numery.
OdpowiedzJednak „gros” takich ataków
Oni nie są głupi, uczą się „iza” każdą kampanią mogą być coraz lepsi.
Odpowiedz