Как я чуть было не попался на крючок. Фишинговые атаки для IT Pro.

«Поистине, гордыня – мой любимейший из грехов»

Аль Пачино в роли Дьявола

Никогда в жизни не ловил никаких порнобанеров, или шифровальщиков или еще чего-то такого непристойно-противно-зловредного. Хотя и использую Windows в ее стоковом варианте, т.е. даже без внешних антивирусов и файрволов (речь о домашнем компе, разумеется). И всегда довольно скептически относился к Consumer Security, считая это чем-то детским. То ли дело Enterprise Security, с ее сложными политиками, методами и подходами. Хотя тут я тоже полный нуб, в принципе. В общем, довольно безосновательно считал себя «ТруЪ АйТи Про», который уж точно не попадется. Но на старуху бывает проруха, как говорится, и чем выше заберешься – тем больнее падать. Речь пойдет сегодня именно о разделе пользовательской безопасности.

Получил я тут письмо от PayPal, в котром у меня есть учетная запись, как у всякого уважающего себя гика, с привязанной картой, как у всякого самонадеянного гика. Письмо быглядело довольно впечатляющим:

PayPal? Похоже. Все дело в том, что я уже попадал на дополнительные проверки и ограничение функциональности аккаунта по причине изменения российского законодательства, которому PayPal старается следовать. Тогда у меня запросили дополнительную информацию в виде скана паспорта и\или ИНН (скан им фигушки, отдал ИНН). И тут опять, теперь они просят номер мобильного телефона и предлагают создать PIN. Некий намек на двухфакторную аутентификацию? Да, еще и предупреждение, что если протянуть 14 дней, то аккаунт опять упадет в limited. Ну ок. Кликаю ссылку из письма, так же удобнее, правда? И попадаю на страницу входа в PayPal.

Вот так она выглядит:

А вот еще одна (найдите 10 отличий)

Дело в том, что на первом скриншоте страница фейковая, с адресом http://paypal-updates.com-accounts.com/webapps/8bff7/home, на втором настоящая с адресом https://www.paypal.com/ru/webapps/mpp/home

Вся разница становится видна в адресной строке:

Т.е. первая страница работает по протоколу HTTP и не защищена (не удостоверяется) SLL сертификатом, вторая работает по протоколу HTTP и имеет цифровое удостоверение, которое можно посмотреть и убедиться, что выдано оно именно www.paypal.com и никому другому.

Но это все я увидел потом…

Я уверенно нажал кнопку Войти на фейковой странице и совершил самый смертный из грехов: ввел логин и пароль. Скажу сразу, что для снятия скриншотов (в отличии от реальной ситуации, где я, тупой мудак, ввел реальные логин и пароль) я вводил совершеннейшую дичь:

Login: Test.User@contoso.com

Password: Очень Сложный Пароль

Система благополучно это все проглотила и выдала мне вот такой экран:

«Вот п#%&расы!», — подумал я, несправедливо обвиняя PayPal во всех смертных грехах, «Ну чего им опять не хватает?!».

И нажал Continue. И вот тут я впервые подумал о том, что где-то здесь подвох. Система предложила мне заполнить контактную информацию заново, начиная с имени, фамилии, адреса и т.п. Т.е. вела себя так, будто впервые меня видит.

При этом, они клятвенно уверяли меня в том, что их система защищена сертификатами от VeriSign и Symantec (что одно и то же в принципе), но строка адреса упорно говорила мне об обратном.

Это та самая точка, где у меня хватило ума прекратить этот балаган, быстро одуматься, ужаснуться своей тупизне и принять экстренные меры. Я мигом кинулся на настоящий PayPal, убедился, что там у меня аккаунт верифицирован на 100% (они говорят об этом специальным индикатором в верхнем левом углу (сейчас там у меня 75%, но это следствие экстренных мер)

И тут же сменил пароль на сгенеренный километровый, отвязал от греха подальше карту и только тогда позволил себе выдохнуть.

Если посмотреть на страницу, где предлагается заполнить контактную информацию, то можно увидеть, что это только первый шаг и дальше вам предложат ввести информацию о привязанной карте.

Слава Провидению, что у меня хватило ума остановиться и не вводить этого всего.

По результатам всего вышеописанного сделал для себя лично несколько выводов на будущее, которые должны стать моими правилами:

  1. Всегда смотри на отправителя письма. В моем случае это был PaypaI paypaI-noreply@hosting112.skyberate.net, настоящий PayPal шлет письма из своего собственного домена PayPal service@paypal.com
  2. Если тебе предлагают шорткат в виде ссылки в письме – лучше им не пользоваться, и зайти на нужный сервис обычным путем. В моем случае нужно было запустить браузер, набрать www.paypal.com и попасть на свою страничку, где я сразу же увидел бы, что никаких проблем с аккаунтом нет.
  3. Смотри в строку адреса. Любые операции, связанные с финансами и\или персональными данными должны шифроваться на уровне протокола. В моем случае это SSL в HTTP. Если вам предлагают зайти просто по незащищенному HTTP – ну их в лес. Все, что связано с сертификатом – должно гореть ярким зеленым светом, т.е. сертификат с Extended Validation. Если компания поставщик сервиса жмет денег на дополнительную валидацию собственного сертификата – в лес такую компанию.
  4. Не привязывай к онлайн-сервисам основной счет. Т.е. счет, на котором хранится большая часть твоих финансов. Создай виртуальную карту, привяжи ее и переводи на нее ровно нужную сумму всякий раз, когда необходимо совершить платеж. Это требует ровно на одну операцию больше, но позволит уберечь основной счет от полного обнуления в случае чего.
  5. Не смотри свысока на Consumer Security. Это очень важный раздел безопасности, наверное даже более важный чем «крутой и профессиональный» Enterprise Security.
  6. Читай Владимира Безмалого. Просто так, на досуге. «Предупрежден, значит вооружен».

Вот, собственно, и вся история. Если вы так глупо никогда не попадали – вы большие молодцы! J

Реклама
Как я чуть было не попался на крючок. Фишинговые атаки для IT Pro.

Как я чуть было не попался на крючок. Фишинговые атаки для IT Pro.: 7 комментариев

  1. Владимир, вы делаете очень нужное и важное дело: рассказываете простым понятным языком о том, как надо вести себя в Интернет. Представляю, сколько людей вы спасли от мошенничества своими статьями. А кто-то в вашем возрасте огурцы поливает и ни о чем не думает. Это вам спасибо огромное.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

w

Connecting to %s