Często czytasz o atakach socjotechnicznych, ale zwykle je lekceważysz. Myślisz, że Ciebie to nie dotyczy, albo że na pewno wychwycisz próbę wyłudzenia danych. Moja historia może być drobną przestrogą.
Prywatny adres mailowy mam na tlen.pl (wiem, muszę zmienić!). Dostaję sporo maili z prymitywnymi atakami phishingowymi, które lądują w spamie: ktoś rzekomo nagrał mnie, gdy brałem prysznic czy dłubałem nosie, albo informuje, że wygrałem milion dolarów i wystarczy, że się „zaloguję”.
Tym razem atak został lepiej przygotowany. Wiadomość, która trafiła do głównej skrzynki odbiorczej, wyglądała następująco:
Na pierwszy rzut oka wyrażenie „Administrator poczty” wygląda poważnie. W dodatku wiadomość nie trafiła do spamu i ma dobrą składnię. Ewentualnie kwestia „zablokowania konta” wzbudza podejrzenie, no ale czy administrator poczty może zablokować konto…? Kto przeczytał regulamin poczty elektronicznej i wie, kiedy mogą zablokować lub usunąć konto?
Z ciekawości człowiek otwiera mail, a tam coś takiego:
Sprawdzam!
Szybki rekonesans i…
- Wizualnie wiadomość wygląda jak wysłana przez system o2, czyli tlen.
- Dobra składnia.
- Treść w miarę sensowna (co prawda trochę podejrzana, ale nie jest to nigeryjski książę czy kurier z brakującą złotówką).
- Zachowane oficjalne sformułowania typu „Drogi Użytkowniku” lub „Z wyrazami szacunku, grupa o2.pl”).
- Wygląda jak prawdziwy mail od systemu o2.
- Domena o2 i adres mailowy wyglądają OK, ale czy na pewno…?
I tutaj pojawia się pierwsze poważne zastanowienie. Czy z takiego maila korzystałoby o2 w kontakcie z użytkownikiem? (Tak na marginesie: czy za każdym razem sprawdzasz te wszystkie elementy?)
Treść:
- Z jednej strony trochę przypomina atak, bo administrator mógł po prostu zablokować konto, zamiast informować mnie o nietypowych działaniach. Banki przecież blokują karty płatnicze, gdy zauważą coś podejrzanego. Coraz więcej jest różnych regulacji dot. przeciwdziałania czemukolwiek np. terroryzmowi itp. No i termin…
- No właśnie, termin. Nie muszę klikać natychmiast, jak zazwyczaj przy takim ataku. Mam na spokojnie 3 dni. Mogę się zastanowić. Mogę poczekać do jutra. Jeśli to byłby atak, to zapewne kazaliby kliknąć w tym momencie i rozwiałoby to już wszelkie wątpliwości.
I tak zrobiłem, poczekałem. Usunąłem wiadomość i zobaczę co będzie następnego dnia.
Drugi dzień ataku
Następnego dnia otrzymałem taką samą wiadomość (znowu nie wpadła do spamu).
Tym razem miałem już 2 dni na reakcję.
Zacząłem się zastanawiać…
- Podobna treść, bez błędów językowych itp.
- Dwa dni (czyli nie tylko składnia dobra, lecz także z arytmetyką dobrze i powtarzalność).
- Mail znowu nie trafił do spamu…
To jednak nie jest phishing! KLIKAM!
Tak zapewne by było, gdyby nie zawodowa paranoja: sprawdzanie czy nie ma skimmera przy bankomacie, zasłanianie karty płatniczej podczas dokonywania płatności czy wymaganie autoryzacji przychodzących połączeń od nieznanych numerów. Niektórzy znajomi przestali pożyczać ode mnie pieniądze (w nagłych wypadkach na odległość), bo męczyła ich autoryzacja jak w banku.
Zboczenie zawodowe spowodowało, że postanowiłem zadzwonić do o2.pl*.
No i pojawiły się schody: na stronie nie podano w widocznym miejscu numeru telefonu.
Nie zniechęcam się, tylko szukam dalej.
Mija minuta.
Mija 5 minut.
Mija 10 minut…
Znalazłem! Dopiero w zakładce pomocy, na samym dole, po kliknięciu w ten szary przycisk, że „nie znalazłem odpowiedzi na swoje pytanie”.
Dzwonię!
Pierwszy numer nie działa.
Drugi numer nie działa.
Trzeci numer… działa!
Trwa połączenie …………………………………………………………………………………………………………….…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
Nie będę przesadzał z liczbą kropek, bo na pewno domyślasz się, jak było.
„Jesteś piąty w kolejce…”.
„Jesteś czwarty w kolejce…”.
„Przed tobą jeszcze trzy osoby…”.
Co robić?
Po co piszę o szukaniu numerów telefonu i dzwonieniu do administracji portalu?
Bo to jedyny sposób, żeby zweryfikować mail, który dostałem.
Weryfikacja nie jest łatwa. Gdyby nie zboczenie zawodowe, pewnie bym jej nie dokonał. Zrobiłbym tak, jak pomyślałem, czyli kliknął w link! Ciekawe, ile osób tak właśnie postąpiło?
Odczekałem swoje i okazało się, że…
„TO JEST ATAK! PROSZĘ NIE KLIKAĆ! Dostaliśmy zgłoszenie, już pracujemy nad tym”.
Fajnie, że dostają zgłoszenia. Może gdyby usprawnili opcję kontaktu, szybciej by to naprawili. Bo atak trwa już drugi dzień.**
Pytanie, w jaki sposób chcą to naprawić. Byleby nie wysłali maila o treści: „Poprzedni mail to był atak. Jeżeli kliknąłeś w link, to zrobiłeś źle. Kliknij w ten link, żebyśmy wiedzieli, że padłeś ofiarą wyłudzenia danych!”.
Happy end
Nie padłem ofiarą phishingu, a jeśli już, to jedynie częściowo (w końcu otrzymałem wiadomość). Chciałem Cię raczej sprowokować do przeczytania całości tekstu (socjotechnika )
Uważaj w sieci i miłego dnia!
*Dzwoniłem już pierwszego dnia, ale się nie dodzwoniłem. Za długo czekałem na połączenie. Na potrzeby czytelników, historia została skrócona.
**Atak trwał i trzeci dzień: