A mai poszt apropóját a múlt héten kapott scam-ek / phishing próbálkozások adták. Aztán hozzájött egy olyan történet, ami megerősített abban, hogy megírjam ezt a posztot… Na de kezdjük az elején.
Mi az a scam?
Biztos mindegyikőtök kapott már olyan e-mailt, amiben ékes angolsággal (vagy anélkül) közölte veled egy idegen, hogy Ő az XY király örököse, aki csilliárd-milliárd dollárt örökölt, és pont a Te segítségével akarja kimenteni a vagyont a királyságból. Persze, tudom Te ilyennek biztos nem dőlsz be. Viszont az idősebb korosztály egyre inkább használja az online világot, és ők könnyű célpontnak számítanak. Van olyan idős ismerősöm, aki bedőlt egy ilyen scam-nek. Hiába mondtam neki, hogy egy fillért ne utaljon – az első összeget csak elutalta a csalónak „tranzakciós díjként”…
A scam modern változata már a fiatalabb korosztályon is simán kifoghat. Például ha valaki kamu Facebook fiókot hoz létre egy ismerősöd profilképével, majd felveszi veled a kapcsolatot. Te meg – abban a hitben, hogy egy ismerősöddel beszélsz, simán kattingatsz mindenféle linkekre…
Phishing, azaz adatlopás
Bizonyára ezzel is találkoztál már. Ez az, amikor kapsz egy e-mailt mondjuk a bankodtól, vagy az Apple-től, hogy bizony itt-meg-itt be kell jelentkezned, különben felfüggesztik a számládat / fiókodat. Persze a link nem oda visz ahova kéne. A WordPress egyébként itt erős tényező, mert sok feltört WordPress oldal szolgál arra, hogy ilyen phishing oldalakat „szolgáljon ki”.
Múlt heti példák
Az első elég „gagyi”. Nem figyeltek se a kinézetre, se másra. A tárgysor annyi volt „Your account will be limited”, a feladó pedig „Resolved <depok@ganteng.net>”. Ez két dolog már elég árulkodó. A levél maga így nézett ki:
Egy gyenge phishing próbálkozás
A „Check you account” (nem your… neeeem.. you!) a http://paypai-recovery.service-idf.info/ linkre visz. A paypai szöveg könnyen paypal-nak olvasható, és sokan nem is olvasnak tovább. De mivel az egész levél nem túl kifinomult, kétlem hogy túl sok adatot tudtak volna összehalászni.
A másik példa már „jobb”, már ha szabad ilyet mondani. A feladó itt már „Apple”, a noreply@service.com” címről. Tárgysorban „Your Apple account has been disabled!”, és a kinézet is többé-kevesbé rendben van.
Ez már „jobb” próbálkozás
A link, bár úgy tűnik, hogy „apple.com” végű, az egeret fölé mozgatva lásztik, hogy egy feltört olasz oldalra visz. Nem látszik a képen, de a levél alján van még két link, szépen elrendezve, ikonnal, amelyeknél egy-egy indiai link látszik.
Hogy jön ide a másfél millió?
Térjünk hát rá a tegnapi cikkhez, amit elolvashatsz a Totalcar oldalán: http://totalcar.hu/magazin/kozelet/2017/01/31/mercedest_akartam_tokeletes_modszerrel_raboltak_ki/
Érdemes elolvasni a cikket. A lényeg az, hogy ezt a másfél millió forintot scam-phishing keverékkel csalták ki a főszereplőtől.
- Személyi igazolványt viszonylag egyszerű photoshoppolni
- A domain-t valószínűleg direkt erre a célra jegyezték be
- A Wikipedia link winkipedia-fin.com, ami hasonlít ugyan, de azért fel kéne hogy tűnjön
- A megerősítő levélben az áldozatot megnyugtatta, hogy a fejléc valódinak tűnt (!!!), és hogy ebay.com-os e-mail címről jött a levél. (Itt azért megjegyezném, hogy a cikkben nem látszik az e-mail cím, így simán lehet hogy nem is volt ebay.com végű, csak hasonlított rá. Megjegyzés 2: feladó e-mail címet a legegyszerűbb dolog meghamisítani. Ezt mindig elmondom: az e-mail alapból nem biztonságos!)
- Csodálkozom rajta, hogy ha az ebay.com-mal volt hite szerint kapcsolatban, akkor miért volt hajlandó elutalni 4400 EUR-t egy B. Vivien nevű magánszemély számlájára? Ha valóban az eBay lenne a túl oldalon, akkor valamilyen eBay-hez köthető bankszámlára kéne utalni.
- „A tranzakció az ünnepek előtt feltorlódott átutalások miatt megakadt”. Itt már nagyon-nagyon gyanús a történet! Abban azért kiegyezhetünk, hogy a modern pénzvilágban, ahol szoftverek állítgatnak át számokat, ilyen nem nagyon fordulhat elő.
De persze itt már minden mindegy volt. Komplex, jól felépített támadás ami az emberi természet kijátszására alapul. Várható, hogy ahogy a felhasználók biztonságtudatossága javul, egyre inkább az ilyen komplex támadások fognak teret kapni. Legyetek résen, és járjatok utána az utolsó részletnek is, mielőtt elutalnátok bármilyen összeget!
A legcélszerűbb a linkek helyességét ellenőrizni! Nem elég ha hasonló!
Az otpbank.akarmilyendomain.com nem az OTP banké!
Ha nincs zöld lakat a böngészőben, gyanús! Ha van zöld lakat, kattints rá, nézd meg hogy valóban az pénzintézet / szervezet a tulajdonos! (A domain-validated tanúsítványnál nem fogsz tulajdonost látni, de a pénzintézeteknél igen!)
Ha esetleg kétségetek van egy-egy levél / oldal eredetiségével kapcsolatban, keressetek bátran!
Megjegyzés:
Bár úgy tűnhet, de ez a poszt nem az áldozatot akarja hibáztatni! Csupán szeretném felhívni a figyelmet arra, hogy miket kellene ellenőrizni a saját biztonságunk érdekében!