Phishing prevara na sajtu za trgovinu nekretninama

Phishing ili fišing je tehnika sajber napada, u kojoj sajber kriminalci, lažno se predstavljajući, pokušavaju da navedu žrtve da ostave poverljive podatke, preuzmu malver ili uplate novac. Obično se phishing tehnikom cilja veliki broj primalaca u nadi da će se makar jedan mali broj njih "upecati", što za napadače znači da je napad uspešan.

Pre dve nedelje pisali smo o phishing prevari sa Idea kuponima na Facebooku, a sada je pred vama prevara otkrivena na jednom domaćem sajtu za trgovinu nekretninama.

Svoje iskustvo sa phisnigom opisao je Milan M. Markov, u tekstu objavljenom na LinkedInu. Uz njegovo odobrenje, prenosimo vam tekst u celosti.

Nadamo se da će vam pomoći da lakše prepoznate prevaru i ne upecate se!

Anatomija jednog phishing napada...

...ili što bi savremeni internet "novinari" rekli "Našao je savršen stan za iznajmljivanje i nećete verovati šta mu se onda desilo!".

Ok, nisam ga ja našao već moja draga ženica, pratimo tržište nekretnina i redovno razgledamo oglase. Tako je naletela na ovaj oglas našeg respektabilnog sajta za nekretnine. (oglas će verovatno biti uskoro i uklonjen, pa sledi screenshot).

Na prvi pogled, za onog ko prati nekretnine, ovo deluje kao izrazito dobra ponuda. I sam sam se oduševio ovim pronalaskom i dogovorio sa svojom lepšom polovinom da što pre stupim u kontakt sa vlasnikom. I u tom momentu se pali prva signalna lampica u mom analitičkom sistemu - kontakt su broj telefona u inostranstvu i email adresa?

Ok, ne mora biti čudno, ima dosta naših gastarbajtera širom sveta. A Gradimir Petrović baš nekako zvuči gastarbajterski. Kontaktiraću ga.

Kako je bilo kasno veče odlučujem da pošaljem SMS, računam da je mobilni u pitanju. Dodatno, stavljam kontakt u imenik i gledam da li će Whatsapp i Viber pokupiti kontakt te osobe, kako bih video da li je i na tim servisima za komunikaciju, svakako je zgodnije od SMSa. Nema odgovora na SMS, a nema ni Whatsapp i Viber kontakta. Ok, možda nije mobilni u pitanju, poslaću stari dobri (prevaziđeni) email. Za to vreme ipak, s obzirom na moje telco iskustvo, prvo što radim je provera iz koje zemlje je ovaj broj - +40 je Rumunija a 75 je mobilni operater Orange. Pali se još jedna signalna lampica - čudno je da neki naš gastarbajter na mobilnom telefonu nema Whatsapp i Viber.

Noć je još mlada, nema ni 1 sat iza ponoći, idealno je vreme da još malo cunjam po internetu... proveravam ko je dotični Gradimir. Nema zanimljivih profila na društvenim mrežama koji se mogu dovesti u vezu sa njim a ni Google ne otkriva mnogo ali pronalazi da se email adresa nalazi na još nekim internet lokacijama - takođe sajtovima za oglašavanje nekretnina sa istim sadržajem oglasa uz jedan potpuno novi oglas za nekretninu na Voždovcu. Ok, ne mora biti čudno, čovek ima dva stana, nekom je život majka a nekom bogata tetka iz Australije bez naslednika ili tako nešto.

Jutro mi donosi odgovor na poslati email, ako se 11h može nazvati jutrom, ali i hakeri imaju dušu, mogu malo duže spavati a i nemaju radno vreme, krvav je to leba, nema socijalno, nema topli obrok. Pita me na koji stan mislim - ok, poklapa se sa pričom o dva stana koja sam pronašao sinoć... Odgovaram na koji stan mislim i stiže zanimljiv odgovor sa relativno dobrom pričom:

Jaoj bre Gradimire, kude ti se dade srBski jezik? Ah, ok, komšija rumun je u pitanju (poklapa se sa analizom broja telefona)... srpskog porekla pa otuda "Gradimir Petrović"? Već mi tu nešto ne štima ali dobra ponuda (komunalije uključene u cenu?!) me primorava da nadjem neko "logično" objašnjenje - znam, možda je Gradimir samo neki posrednik sa dotičnim rumunom koji izdaje stan?! Odgovaram da sam zainteresovan, naravno, iako se lampice i dalje pale i signaliziraju da nešto nije ok (pa ženi već najavljujem da se ne nada previše dok ona ostaje u čudu). Postavljam i neka dodatna pitanja o stanu i nudim razgovor na engleskom ukoliko je komšiji rumunu to lakše... Stiže i novi mail:

Nema odgovora na moja pitanja niti komunikacije na engleskom. Link ka airbnb sajtu je zaista airbnb sajt, pa hajde kad sam već tu da potražim stan i vidim te pozitivne komentare... ali ne mogu da nađem stan. Hmmm... Hej, a pasoš?! Otvaram prilog iz maila (bez bojazni, jer znam da sam dobro zaštićen)...

Hah! Pa ovo nije pasoš, već loše kopirana i još lošije fotografisana lična karta, doduše sa korektnim imenom i prezimenom nesretnog deke Gradimira iz Leskovca (tj. mesta Mrštane) čiji identitet je haker pribavio. Ok, sada više i nemam ideje kako da nađem "logično" objašnjenje, sve je jasno.

Razočaran, ali iskreno i ushićen jer sam shvatio da sam "omirisao slatkog crvića na toj šiljatoj udici koja je zabačena u moju vodu" nastavljam dalje sa komunikacijom, iz znatiželje da vidim šta je sledeće. Odgovaram da sam i dalje zainteresovan, da znam za airbnb i tražim mu link, uz ponovljeno pitanje na kom se spratu nalazi stan.

Konačno dobijam odgovor i na to, ali sada umesto da me navuče i "trgne udicu", drugar sa druge strane tvrdi pazar...

Ljubazno mu objašnjavam da o održavanju nema potrebe da brine i dajem mu svoj prepaid broj kao kontakt, a nudim mu i kontakt sa aktuelnim stanodavcem (a već u glavi smišljam otvaranje mail naloga tipa aca.vucic@gmail.com, to bi sigurno bila jaka referenca). Stiže odgovor u vidu još jednog objašnjavanja procedure, uveravanja da je tako najbolje, najsigurnije, kao da ne kapira da me već "ima na udici".

Ponavljam da sam razumeo sve i trazim mu taj link kako bih dobio i konačnu potvrdu ovog phishing napada. I konačno ga dobijam:

Pohvala drugaru sa druge strane što je barem link u mailu zamaskirao tekstom (mouse over link otkriva destinaciju, prikazano na dnu slike), a bilo bi suviše očigledno da nije. A i samo skidanje airbnb stranice je fino odrađeno, mada svako ko je barem 10ak oglasa pogledao na pravom airbnb sajtu primetio bi da ovde nedostaju mnoge funkcionalnosti.

Opcija kalendara i bookiranja je funkcionalna a iza nje se nalazi stranica sa formom za popunjavanje podataka... idem dalje!

Dakle u stan ulazimo 1. aprila... bas ce biti aprilililili!

Ubrzo je stigao i mail od "airbnb" sa instrukcijama za uplatu...

Mail je uredno stigao i "Gradimiru" koji je bio u CC maila. Nastavljamo dalje igranku...

Stay tuned!

UPDATE 10.03. 12:45

U međuvremenu sam dobio još jednu instrukciju za plaćanje koja se razlikuje od prethodne. Opet je u pitanju Rim, Italija, ali je drugi "account holder". Napadaču bi trebalo da je u interesu da ne zbunjuje potencijalnu žrtvu, pa ću ga pitati zašto sam dobio dva maila i zašto ni u jednom nije on, kakve veze ima Italija sa Rumunijom.

U međuvremenu mi je uredno poslao email a čak i SMS da me obavesti da su mi instrukcije za plaćanje poslate pozivajući se na poslednji mail sa instrukcijama.

Update 14.03. 11:50

S obzirom da je tekst objavljen i na sajtu Nekretnine.rs dužnost mi je da i zaokružim ovu priču. Prepiska sa napadačem još traje. Pokušavam da izvučem još informacija i za sada je primetno (po potpisu iz maila koji se embedovan od WiFi mreže) da koristi WiFi mrežu na aerodrumu u Bukureštu. Verovatno je zaposlen tamo, odgovara na mailove u određenim terminima koji se mogu protumačiti i kao smenski rad. Uglavnom je to u prepodnevnim časovima, a vikendom gotovo da nije bilo komunikacije. Broj mobilnog je aktivan i slao mi je dodatne SMS poruke na koje nisam odgovarao i predlagao mi da ga pozovem što nisam učinio, mada bi verovatno odgonetnulo koliko dobro zna srpski jer je ponekad dobar a nekad dosta loš.

Na kraju je konverzacija prerasla u pretnju, jer mu nisam uplatio novac a on je navodno imao troškove od 68eur, pa je zapretio prijavom policiji. Mislim da polako gubi strpljenje i da je pitanje trenutka kada će shvatiti da ga zavlačim.

Ako ništa drugo, potrošio sam mu neko vreme koje bi možda upotrebio na nekoj drugoj potencijalnoj žrtvi i time joj možda omogućio da shvati šta se dešava.

Izvor: LinkedIn Pulse