Мое внимание привлекли симпатичные фото одного местечка, и мне захотелось связаться с арендодателями и узнать о нем поподробнее. Несмотря на мой опыт в качестве специалиста по безопасности, я не понимал, что со мной общаются мошенники, вплоть до третьего письма! Ниже я подробно расскажу разберу кейс вместе со скриншотами и тревожными звоночками.
Я пишу это, чтобы проиллюстрировать, что хорошо подготовленные фишинговые атаки могут выглядеть очень убедительно. Безопасники часто рекомендуют обращать внимание на грамматику и оформление, чтобы защититься от фишинга: якобы у мошенников слабое знание языка и небрежное отношение к визуальному оформлению. В некоторых случаях это действительно работает, но в моем кейсе не помогло. Самые изощренные мошенники пишут на хорошем языке и создают иллюзию соответствия всем писаным и неписаным правилам, стараясь оправдать связанные с этим ожидания жертвы.
Первые письма: беспокоиться в общем не о чем
В объявлении на craiglist было сказано, чтобы все заинтересованные лица звонили по телефону. Однако самого номера телефона там не оказалось. Я подумал, что это произошло по недосмотру, так как многие объявления грешат тем же. Тогда я решил написать арендодателю и попросить у него номер, а также сообщить свой.
В ответ тот написал, что я могу связаться с ним по email: davidgrinde@engineers-hibernia-chevron.ca. Вы могли бы подумать, что уже это должно было мне показаться странным. Однако поиск жилья на таких ресурсах часто связан с каким-то заморочками с номерами телефонов, почтовыми ящиками и странными обходными маневрами. Поэтому я просто написал письмо на этот email и получил такой ответ:
Арендодатель задаёт вполне типичные вопросы: «Когда планируете заехать?», «Сколько людей с вами будет жить?», «Каков ваш годовой доход?»
И тут я не догадался, что общаюсь с мошенниками
Арендодатель сообщил, что он часто и подолгу находится далеко от дома, а теперь будет в отъезде целых два года. Мне показалось это немного странным, но у всех свои обстоятельства, мало ли что. Тем более, многие арендодатели, с которыми я общался, говорили то же самое. А вопросы, заданные мне в письме, показались вполне уместными. Так что я продолжил общение и ответил на них.
Далее я получил такое письмо:
«У меня тут нет мобильной связи, я имею доступ только к своему рабочему компьютеру. Мы продолжим общаться по email, если это ок для вас»
«жилье хотят посмотреть 3 человека. У меня нет времени встречаться с каждым из вас. Я дам вам ссылку… там вы сможете забронировать себе место (предоплату за 1 месяц аренды, а также возмещаемый депозит). Если вы раньше не пользовались Airbnb, это достаточно легко...».
Тревожные звоночки начались именно здесь. Получив это письмо, я уже на 80-90 процентов был уверен, что это мошенники
Первый тревожный звоночек: «У меня тут нет мобильной связи, я имею доступ только к своему рабочему компьютеру. Мы продолжим общаться по email, если это ок для вас». Второй — странное появление Airbnb в нашей беседе.
Почему они хотели, чтобы я заплатил именно через Airbnb?
Третий звоночек — это слишком большое количество фотографий, подтверждающих, что это реальный человек. Но если личность не фейковая, то зачем так стараться убедить меня в этом?
Однако Airbnb меня реально сбил с толку. Тут я уже начал сильно подозревать, что общаюсь с мошенниками, но все же, не был уверен. Я понимал, что их мошенничество не сработает, если я забронирую жилье через Airbnb. У Airbnb хорошо отлаженная процедура разрешения споров и я быстро смогу доказать свою правоту и вернуть деньги.
Я показал объявление другу и он заявил, что это не афера. Нам стоило заключить пари, потому что в итоге прав оказался я. Но тогда я решил проверить, мошенничество это или нет и поэтому все-таки попросил ссылку на Airbnb.
Попросили подождать. Подождать чего? И зачем-то посоветовали мне самостоятельно отыскать на Airbnb их объявление. Это тоже было довольно странно, и я не видел в этом никакого смысла. Если они пытались надуть меня, то просить меня забронировать их жилье на Airbnb было бессмысленно.
Но стоп… Я не смог найти его на Airbnb. И тогда я попросил ссылку еще раз…
Они прислали ее. Она выглядела как настоящая и имела домен airbnb.com. Но так как это была не первая моя охота на фишинговых аферистов, я проверил реальный адрес ссылки в текстовой версии письма (URL Destination). Как говорится, найдите два отличия:
Что и требовалось доказать!
Так и есть. Это фишинговая ссылка. Давайте посмотрим.
Этот скриншот сделан через несколько дней после моего первого расследования, тогда Chrome не успел пометить этот URL как опасный. Фишинговый сайт сделан просто на отлично! Он интерактивный и выглядит убедительно. Поэтому я легко могу допустить, что на удочку мошенников могут запросто попасть те, кто не усомнится в происхождении URL.
Прекрасные фейковые отзывы: 5/5. Продолжайте заниматься фишингом, у вас хорошо получается!
Я не проверял кнопку Request to Book, но уверен, что она бы привела меня на фишинговую страницу, где данные моей карты были бы успешно украдены. Спасибо, может в другой раз.
Почему я остался так впечатлен?
Команда мошенников — а я уверен, что это была команда — проделала огромную работу с высоким уровнем детализации. У них идеальный английский, их письма выглядят профессионально, их фишинговый сайт выглядит как Airbnb. С адреса engineers-hibernia-chevron.ca настроен редирект на hibernia.ca. Это вызовет доверие у тех, кто захочет проверить их домен.
Еще больше я впечатлен их тонкими психологическими уловками. На каждом этапе взаимодействия со мной они оставляли один неясный момент, который я должен был уточнить у них, чтобы дальше двигаться к своей цели. Намного проще почувствовать что-то неладное, если вопросы задают вам. А если вопросы задаете вы, то становится намного труднее продолжать спрашивать их о том, что вам кажется странным. Потому что вы и так уже спросили достаточно и как будто отнимаете время у занятых людей.
Сначала в их объявлении не оказалось номера телефона, и я был вынужден попросить его. Затем они направили меня на сайт Airbnb, и я попросил ссылку. Но в первый раз они не дали ее, поэтому я вновь был вынужден просить. Все это было спланировано заранее.
Во время общения они также упоминали, что другие люди тоже интересовались их жильем, поддерживая правдоподобное ощущение ограниченного времени, когда я должен принять решение. Наконец, использование Airbnb в качестве фишингового сайта было разумным, поскольку создавало впечатление доверенного посредника. Сначала я был реально сбит с толку, потому что не мог понять, как они планируют украсть мои данные. Если бы они просто запросили информацию о банке или кредитной карте на начальном этапе общения, обнаружить и раскрыть их аферу было бы легко.
Как себя обезопасить от такого? Несколько советов
Общаясь с незнакомыми людьми онлайн, всегда проверяйте происхождение их ссылок! Обычно простой переход по ссылке не наносит вреда, но в некоторых случаях и этого достаточно. Я не был на 100% уверен, что это фишинговая афера, пока не вывел на чистую воду фальшивый URL-адрес Airbnb.
Помните, что адреса электронной почты отправителя могут быть подделаны, а доменные имена могут не совпадать с их отображением. То, что вы получили электронное письмо от researchations@fbi.gov, не означает, что электронное письмо вам отправило ФБР.
Ищите признаки того, что кто-то водит вас за нос. Пытаются ли они убедить вас в том, что с вами общаются реальные люди? Пытаются ли они заставить вас действовать быстрее?
Используйте несколько способов проверки личности. Первым тревожным звоночком было то, что мошенник якобы может общаться только по электронной почте. Если кто-то предлагает общаться удаленно, договаривайтесь о видеозвонке, ищите и сравнивайте его аккаунты linkedin, facebook и так далее.
Надеюсь, вам понравилась препарация.
amarao
Хорошая история. Я честно читал переписку и я пропустил пачку вложений с личными фотками. Наверное, если бы это было реальное письмо, то я бы это заметил (пачка аттачей это странно). В целом — очень высокий уровень исполнения.
spc
Ну не знаю. Мне e-mail сразу не понравился. Не бывает у нормальных людей такой почты.
Loki3000
Как я понимаю, это должно было натолкнуть на мысль о том, что это рабочий адрес. А у человека нет нормальной связи, так как это нефтяная платформа. Вот только, при наличии интернета, с чего бы ему не пользоваться личной почтой — это подозрительно.
spc
Нет, серьезно, даже отбросим, что чуваки на госслужбе со служебных мейлов телефонов черт знает что творят, серьезно — у компании есть нефтяная платформа (предположим), но они зажали денег на доменное имя, чтобы оно хотя б в одно слово было?
Paskin
Иногда мейлы людей, работающих во всяких хитрых локациях — действительно выглядят подобным образом, из-за усилий IT сократить траффик через дорогие спутниковые каналы.
Tyusha
Как имя домена связано с трафиком? Поясните.
amarao
… Если бы вы видели какие емейлы бывают...
Как насчёт TradeMark_realestate@cyta.com.cy (cyta — кипрский провайдер интернета, выдающий бесплатный email, TradeMark — гипотетическая контора недвижимости)? Я вот с таким часто встречался. И вполне себе крупная уважаемая компания в городе.
spc
Это я тоже посчитал бы сомнительным, но, скажем, mail.com.ru звучит менее сомнительно, чем, скажем @it-support-lukoil-company.su
Dreyk
ох на Кипре это нечто. я ухахатывался от такого типа мейлов, гордо напечатанных на вывесках :)
zzoond
Поддерживаю, у меня бы тоже вызвало большие подозрения, что человек занимается личными делами с рабочей почты, что во многих крупных компаниях (особенно западных) категорически запрещено.
nochkin
Запрещено, но часто не преследуется. Поэтому многие используют без особого страха.
spc
ну я не о том немного. Вот смотрите, вы второй уже под очарованием chevron в имени почты. Предыдущий комментатор вспомнил про нефтяную вышку, вы — о крупной компании. И это понятно. Адрес так составлен, чтобы вызывать ассоциации с Chevron.
Но блин, я ни за что не поверю, чтобы Chevron пожмотилась на нормальный почтовый домен. Ни за что.
Tarakanator
У нас по дефолту и личная почта и рабочая запрешены. Но доступ блокируется только к личной. Т.е. пока не поймают можно пользоваться служебной в личных целях.
AlfredZh
У нормальных людей таки бывает такая почта (рабочая). Не нормально использовать рабочую почту в личных целях (чо-то падазрительно).
spc
Судя по комментариям, у всех разные кейсы. По моим впечатлениям в случае среднестатистического сотрудника использовать рабочую почту как попало — это как раз нормально — с точки зрения самого сотрудника. Это вот работодатель огорчается, хотя чего там огорчаться, если ты при таком раскладе буквально за попу свою рабочую силу держишь.
Разумеется, что касается деловой этики, то все так: рабочее время и рабочая почта — для работы.
Daddy_Cool
У меня есть рабочая почта — которой я не пользуюсь, и куча личных ящиков. Одна знакомая писала мне по личным вопросам исключительно с рабочей почты.
Два кейса в одном флаконе так сказать. )