Ostatnio miałem wątpliwą przyjemność stać się celem próby ataku scamerskiego. Piszę „próby”, bo na szczęście w swojej pracy zawodowej naoglądałem się już tyle podobnych scenariuszy, że ten scam „na rekrutację” mnie niczym nie zaskoczył. Przebiegał według ustalonego z góry scenariusza, o którym Wam dzisiaj opowiem. Nawet ze zdjęciami poglądowymi. 🙂
Jak przebiegał atak?
Faza 1. – nawiązanie kontaktu
Trzeba powiedzieć, że panowie (może też i panie) wyłudzacze wykosztowali się. Korzystali z dwóch różnych numerów telefonu. Pierwszy, z numerem kierunkowym wskazującym na rozmówcę z USA, napisał do mnie jako Alisha – rekruterka. Dostałem propozycję super pracy – zarobki od 25 do 50 dolarów za godzinę pracy. Chciałbym tyle zarabiać! A tutaj wystarczy być „clickworkerem” – klikaczem, cokolwiek to znaczy. Nie trzeba mieć żadnych umiejętności i można wyciągnąć dodatkowe półtora tysiąca dolarów miesięcznie.
Zostałem zapytany o podstawowe dane, które w zasadzie nie budzą wątpliwości. Na podstawie wieku, płci czy kraju pochodzenia niewiele można wywnioskować. W ten sposób przestępcy próbowali uśpić moją czujność. Oczywiście udzieliłem odpowiedzi absolutnie niezgodnych z prawdą, ale nikomu to nie przeszkadzało, w końcu nikt tych odpowiedzi przecież nie czytał.
Na koniec rozmowy „rekruterka” obiecała mi, że w ciągu 12 godzin skontaktuje się ze mną jej przełożony. Miało to stwarzać pozory profesjonalizmu i tego, że firma jest zarobiona po łokcie, ale w rzeczywistości czekałem tylko kilkadziesiąt minut.
Faza 2. – przekierowanie na złośliwą stronę
Tym razem napisała do mnie „Alina”. Nie będę przytaczał całej rozmowy, bo była dość nudna i właściwie brzmiała tak samo, jak ta z „Alishą”. To znaczy – 50 dolarów na godzinę, nic nie trzeba robić ani umieć, tylko krótkie szkolenie i od razu możesz pracować. Rzeczywiście sprawiało to bardzo profesjonalne wrażenie, bo „Alina” pisała do mnie z numeru z Wielkiej Brytanii. A więc międzynarodowa korporacja!
Ciekawie zrobiło się w momencie, kiedy dostałem link do „rejestracji”. Strona co prawda nazywała się foundry, ale zarejestrowana była w domenie .rest. Dlaczego w takiej akurat? Mogę się tylko domyślać, że faktyczne Foundry wykupiło już większość domen, z których ktoś mógłby skorzystać w celu podszycia się pod firmę. Ale teraz na rynku domen panuje dość duża dowolność, rozszerzeń jest mnóstwo i ta mogła im umknąć, co wykorzystali przestępcy.
Jednak to, że domena mogła wydawać się podejrzana, a samą stronę utworzono 5 dni temu (co można sprawdzić np. na DomainTools) bladło wobec jej jakości.
Faza 3. – faktyczna kradzież danych
Nim przejdziemy dalej, uczulam, żebyście sami nie starali się powtarzać moich kroków. Ja do tego celu mam przygotowane specjalne środowisko, które pozwala mi względnie bezpiecznie odwiedzać takie strony w celach edukacyjnych i śledczych. Wy w ten sposób możecie narazić się na niepotrzebne ryzyko i straty. Możemy się kiedyś umówić na szkolenie w tej materii, ale do tego czasu się wstrzymajcie. 😉
Jak widać na załączonym obrazku, mistrzostwo świata. W zasadzie był to statyczny obrazek z jednym linkiem do formularza rejestracyjnego. Strona nie była nawet przystosowana do wyświetlania na komputerach, tylko proporcje obrazka w tle z grubsza odpowiadały proporcjom ekranu telefonu. Nie zawierała ona żadnego szkodliwego oprogramowania, była jedynie środkiem do wyłudzenia danych. Bo, ma się rozumieć, na końcu drogi rejestracji nie czekała wymarzona praca, tylko przekazanie danych osobowych przestępcom.
Żeby wejść na tę stronę, musiałem też wyłączyć standardowe mechanizmy bezpieczeństwa, ponieważ strona nie korzystała nawet z protokołu https. To znaczy, że nie tylko osoby podające tam swoje dane przekazywały je przestępcom, ale także każdemu, kto po drodze podglądał ruch, ponieważ dane te w transporcie nie były szyfrowane.
Trzeba jednak oddać autorom, że strona miała polską wersję i nawet nie dopatrzyłem się w niej błędów. Tutaj więc jakość komunikatów nie była znakiem ostrzegawczym.
Niestety pracy nie dostałem
Nie wiem, czy to dlatego, że podałem złe dane w formularzu, czy dlatego, że zacząłem zadawać pytania spoza skryptu. Na poprzednim zrzucie pewnie zauważyliście, że zapytałem „Alinę”, skąd ma moje dane – w końcu każdy z nas ma prawo do tego, aby wiedzieć, w jaki sposób i przez kogo są one przetwarzane. Okazało się, że to pytanie nie mieści się w skrypcie. I że język angielski nie jest pierwszym językiem „Aliny”.
Po takiej odpowiedzi niestety byłem już bezradny. Głównie dlatego, że bardzo mało z tej wiadomości zrozumiałem. Coś o kamieniołomach i przystojniakach tylko. Dlatego poprosiłem jeszcze tylko o usunięcie moich danych z ich bazy (hehe), podrzuciłem kilka sugestii językowych i na tym rozmowa się skończyła.
Co robić w takich sytuacjach?
Można po prostu nie odpowiadać i to też będzie ok. Samo otrzymanie wiadomości na WhatsAppie (czy jakimkolwiek innym komunikatorze) jeszcze nie jest groźne. Także jeśli po prostu usuniecie wiadomość i zablokujecie dany numer, to ta kampania Was już nie będzie dotyczyć. Ale jeśli chcecie zadziałać prospołecznie i pomóc innym w uniknięciu losu ofiary takiej kampanii, to możliwości jest kilka:
- Zgłoście taką sytuację do CERT Polska, korzystając z tego formularza. Wymaga to minimum wysiłku, a zgłoszona w ten sposób strona może trafić na listę stron blokowanych przez największe polskie telekomy.
- Dajcie znać znajomym (i sami też skorzystajcie) z Listy Ostrzeżeń CERT Polska, jeśli Wasz dostawca internetu nie wdrożył jej u siebie (mój nie wdrożył 🙁 ).
- (Rada dla trochę bardziej zaawansowanych) – zgłaszajcie takie strony bezpośrednio do firm je rejestrujących. Możecie odwiedzić na przykład stronę whois.com – z pola „Registrar” dowiecie się, kto odpowiada za rejestrację danej strony, a w polu „Registrar Abuse Contact Email” podany będzie adres, pod który należy zgłaszać wszelkie naruszenia i nieprawidłowości. Jeśli zgłoszenie się potwierdzi, strony najczęściej bardzo szybko są zdejmowane.
I, jak zwykle, zachowajcie czujność!
Odkryj więcej z Bezpieczny Blog
Zapisz się, aby otrzymywać najnowsze wpisy na swój adres e-mail.