Phishing din Nigeria – articol de tehnologie.

Deși acesta este un blog cu și despre misiunea din Malawi, mă văd nevoit câteodată să scriu despre lucruri care nu ar avea de-a face în mod direct cu lucrarea, ci mai mult cu situații generale care ne afectează pe fiecare dintre noi. Cred și știu că am o “chemare” înspre tehnologie (ca să folosesc o idee misională), dar tot așa înțeleg că nu toată lumea înțelege această “lume” în același mod.

Trăim în era tehnologiei și o bună parte a informațiilor noastre sunt stocate online. Aceste informații sunt valoroase și importante nu doar nouă, posesorilor de drept, dar și celor rău-voitori. Cu siguranță fiecare dintre noi am auzit de viruși sau de emailurile din partea unor “văduve” sau “bolnavi de cancer” care nu au ce să facă cu cei 2 milioane de dolari pe care îi au. Cred că fiecare dintre noi știm să ne ferim de viruși, având programe antivirus instalate. Mai sper și că niciunul dintre noi nu dă crezare emailurilor de tipul celor descrise mai sus.

Cele două exemplu sunt însă doar picătura din oceanul multitudinelor de metode prin care criminalii încearcă să fure și să se folosească de datele noastre private. În acest articol vă voi da un exemplu concret prin care eu am trecut și vă voi oferi câteva sfaturi în ce privește viața dumneavoastră online.

De-a lungul anilor am fost expus la sute sau poate mii de mesaje prin care fel de fel de indivizi comit fraudă online. Acest tip de mesaje se numesc scam 419 (înșelătorie 419); numărul 419 provine de la secțiunea 419 din Codul Criminal din Nigeria, care se ocupă cu înșelătoria, acuzațiile de înșelătorie și sancțiunile pentru infractori. După o mică experiență neplăcută în urmă cu aproape 10 ani, am înțeles că acest tip de mesaje nu sunt și nu au cum să fie reale, de atunci ignorându-le complet de fiecare dată.

Astăzi, însă, am fost surprins să mă văd ca și o potențială victimă la un alt tip de înșelăciune electronică cu care personal nu am avut contact până acum. Mă refer aici la phishing, acel proces fraudulos prin care se încearcă obținerea unor informați cu caracter personal, prin intermediul unui email sau a unei pagini de web în care autorul pretinde că este de încredere. Informațiile căutate de infractori sunt: nume, parolă, adrese de email, carduri bancare, ș.a.m.d. Spre deosebire de scam 419, unde victima trimite voluntar aceste informații crezând că va primi bani, înșelătoria de tip phishing sustrage aceste informații în mod ilegal, folosind pagini de internet false al căror aspect este aproape sau chiar identic cu paginile reale. Citiți mai multe aici: Înșelăciunea electronică.

De câteva ore sunt în birou și lucrez la întâlnirea de păstori pe care o vom avea sâmbătă. Așa cum v-am spus, subiectul este Cina Domnului, și în zilele acestea pregătesc materialele necesare. În timp ce scriam, am observat că am primit un email din partea unui tânăr de aici din Zomba cu care chiar m-am întâlnit azi dimineață. El conduce firma de construcții care ne ajută la clădirea Școlii Biblice, și m-am mirat puțin să văd că mi-a scris un email când deja am discutat astăzi.

Am deschis emailul am observat imediat că mi-a trimis un fișier cu numele CONTRACT. Mi s-a părut ciudată extensia acestui fișier, .html, care este defapt reprezintă o pagină de net. Îl cunosc pe acest tânăr și știu că se pricepe în construcții, însă nu prea în ale calculatoarelor, de aceea mi-am zis că o fi făcut el o greșeală în modul în care a trimis contractul cu pricina. De obicei fișierele de acest gen ar veni cu extensia .pdf, .doc sau ceva asemănător.

Așadar am deschis fișierul din atașament. Înainte să merg mai departe, vreau să vă spun că virușii nu mă preocupă prea mult în acest moment. Sunt conștient că majoritatea virușilor sunt făcuți să atace sistemele care rulează Windows, iar eu sunt utilizator de Mac, acolo unde deocamdată sunt foarte puțini viruși. Totuși, nu recomand nimănui să deschide fișiere necunoscute, mai ales dacă pe acel calculator nu aveți un program antivirus bun.

Mai departe. Am deschis fișierul și acesta s-a deschis în browserul meu de internet. Nimic surprinzător până aici, deoarece extensia lui era de tip .html. Mesaul cu care am fost întâmpinat, însă, mi-a tras câteva semnale de alarmă, însă tot nu mi-am dat seama cu ce exact am de-a face.

Mi s-a părut ciudat să văd greșelile gramaticale și de ortografie din mesajul de mai sus, însă realizarea a venit abia după ce am dat click pe … Ok sau pe Close? Adevărul e că abia acum, în timp ce scriu aceste rânduri, îmi dau seama că defapt mesajul scrie una și opțiunea pe care o am este alta, însă exact acest lucru ar trebui să ne atragă atenția că avem de-a face cu criminali, oameni care nu sunt neaparați recunoscuți pentru inteligența lor sau nivelul de educație.

Așadar, după ce am apăsat buton “Close”, o pagină foarte cunoscută mi-a apărut în fața ochilor, care este însă o copie foarte bună a paginii oficiale de logare în cont pentru utilizatorii Adobe. Defapt, ca să vă convingeți cât de bine este gândită înșelăciunea, vă las mai jos o poză de ecran cu pagina falsă și una cu pagina reală:

Sunt convins că la o primă vedere ar fi greu oricui să își dea seama ce este real și ce este fals, și acum cred că vă puteți da seama cât de departe merg acești oameni fărăs scrupule în căutarea lor de a fura informațiile altora. Adobe nu este nici prima și nici ultima pagină folosită în acest sens. S-au făcut pagini false de Facebook, de Gmail sau de Yahoo și în fiecare zi oameni nevinovați pierd informații valoroase.

În acel punct mi-am dat seama că sunt victima unui atac de tip phishing și, bineînțeles, nu mi-am introdus detaliile pe care pagina mi le-a cerut. Dacă o făceam, adresa mea de email și parola ajungeau în mâinile aceluia a pus la punct frauda, el având mai departe informațiile necesare pentru a se loga în contul meu real de la Adobe.

Pe scurt, în pagina falsificată atacatorul a pus un formular simplu care preia adresa de email și parola introdusă de utilizator. Odată cu apăsarea butonului de “OK”, “SIGN IN”, “VIEW FILE” sau oricare ar fi acesta, acele detalii confidențiale sunt trimise către criminal. Pentru aceia dintre dumneavoastră care aveți răbdare și doriți, mai jos vă voi spune și cum mi-am dat seama ce se întâmplă și unde se trimit informațiile.

Iată câteva sfaturi care vă vor ajuta să nu cădeți pradă acestor atacatori cibernetici:

1. Fiți vigilenți online. Tot timpul.

2. Fiți suspicioși atunci când primiți un email sau un mesaj cu un atașament, mai ales dacă nu v-ați așteptat la așa ceva.

3. Nu deschideți link-uri primite pe mail sau prin mesaje, decât dacă e ceva ce așteptați.

4. Nu aveți încredere în mesajele unde sunteți grăbiți să faceți ceva. Dacă vă veți uita la prima poză atașată, veți observa câteva cuvinte cheie care să vă tragă semnale de alarmă: URGENT (urgent), immediat action (acțiune imediată).

5. Atenție mare la linkurile primite prin email sau mesaje în care vi se cer informații confidențiale: username, parolă, etc.

6. Atunci când introduceți informații confidențiale pe orice pagină de internet, verificați dacă calculatorul dumneavoastră este conectat în mod securizat la aceea pagină. Acest lucru îl confirmați uitându-vă în căsuța unde este afișat linkul paginii. Niciodată, repet, niciodată nu introduceți informații personale dacă acest lacăt lipsește.

Un alt mod de a vă asigura că legătura este securizată (encriptată defapt, astfel încât nimeni să nu poată citi informațiile) este să confirmați că adresa paginii începe cu “https://” și nu “http://“. Acel “s” de la finalul lui “https” arată că legătura este securizată.

7. Fiți atenți la greșeli simple care pot trage semnale de alarmă. Așa cum am spus mai sus, infractorii nu sunt neaparat oameni bine educați, de aceea de multe ori nici măcar nu știu să scrie corect. Pe de altă parte, companiile reale au cu siguranță oameni bine pregătiți care nu vor face greșeli gramaticale sau de ortografie atât de grosolane. Dacă înțelegeți limba engleză, veți realiza și dumneavoastră greșelile din a doua poză pe care am pus-o în acest articol.

Poate vă întrebați, ca și mine, ce ar folosi unui infractor informațiile de acest gen. Așa cum am menționat deja, victima înșelată introduce informații de cont reale, iar aceastea ajung pe mâinile celor răi. Cu ele, infractorul se poate autentifica în contul dumneavoastră real, și de acolo va încerca să sustragă cât mai multe detalii, cu scopul de a face bani. Totul are valoare când vine vorba de mediul online, chiar și conturile noastre.

De curiozitate, m-am autentificat în contul meu de Adobe, folosind pagina lor adevărată bineînțeles, și am încercat să văd ce ar putea fi de folos altora. Criminalii caută informații bancare sau măcar adrese fizice, și toate acestea figurează în mod normal aici. Chiar dacă cardul bancar în sine nu este vizibil, ultimele cifre sunt arătate, la fel și data lui de expirare. Dacă un produs este folosit pe mai multe calculatoare, numele lor de rețea vor fi afișate tot în acest cont, la fel și adresa sau adresele de email folosite, numărul de telefon și adresa fizică. Cu aceste informații, oricine își poate face o idee cu privire la cine este utilizatorul și apoi poate să conceapă noi metode de atac.

O simplă căutare pe Google a emailului meu (preluat fraudulos), va arăta rezultate importante despre persoana mea: cine sunt, poze, blogul acesta, unde locuiesc, ce fac, etc. Un criminal, mai apoi, poate pune cap la cap toate detaliile și poate ști inclusiv când pleci în vacanță și când e casa goală, printre altele. Cred că deja sunteți speriați puțin pentru că da, un simplu email la care nu am fost atenți poate duce la o crimă mult mai mare.

Am promis că voi explica și cum am descoperit ce se întâmplă și unde se transmit informațiile. Iată descoperirile mele.

Pagina falsificată de mai sus preia informațiile utilizatorului și nu are nici o legătură cu Adobe real. La fel se întâmplă și în cazul atacurilor de acest gen când pagini gen Facebook, iCloud sau altele sunt folosite. Ca să vă demonstrez, am introdus informații false în cele două câmpuri și “Adobe” nu m-a avertizat că am făcut o greșeală de autentificare. În cele mai multe cazuri, atacatorii implementează un minimum de validare a datelor introduse, astfel încât totul să pară real, însă nu au cum să știe dacă ceea ce am introdus există în baza de date a celor de la Adobe sau nu. Iată un exemplu: Orice email în format valid, adică să aibă caracterele “@” și “.” va fi acceptat iar orice altceva nu.

Lecția de aici e simplă. Doar pentru că o paginaă arată bine nu înseamnă că ea și este bună.

Odată ce mi-am dat seama că e un atac de tip phishing, am căutat să aflu cine stă în spatele lui și, surpriză, e vorba de cineva din Nigera, țara celor mai mulți înșelători din toată lumea.

Cu un click-dreapta pe pagina cu pricina, am deschis codul sursă, și acolo am descoperit câteva detalii interesante.

În primul rând, imediat după ce informațiile sunt introduse și victima apasă buton “View File”, pagina redirecționează foarte rapid către un alt site, acolo unde defapt acele informații sunt trimise. Un script simplu preia detaliile din pagina 1 și le introduce într-un alt formular aflat pe site-ul seedtravels.

 

După ce datele confidențiale sunt salvate pe serverul infractorului, pagina redirecționează încă o dată către pagina reală a celor de la Adobe pe care i-a copiat de la bun început. De ce? Pentru ca totul să arate cât se poate de real. Acest lucru este defapt o tactică foarte des întâlnită, infractorii folosindu-se de naivitatea victimelor pentru cel mai scurt timp posibil.

Cine sunt seedtravels? E o agenție de călătorii, însă sunt 100% sigur că e totul e parte dintr-o altă înșelătorie. Site-ul arată mizerabil și e clar că a fost făcut în fugă. Pe prima pagină apare și un număr de telefon, prefixul fiind din…. ați ghicit, Nigeria.

Sunt sigur că mai există o multitudine de informații care se pot extrage din codul sursă, însă timpul și lipsa de interes nu mă lasă să îmi pierd vremea cu ei. Tot ceea ce am explicat mai sus s-a întâmplat în maxim 15 minute. Defapt, acest articol a luat mai mult timp decât problema care l-a cauzat.

La final vă doresc să fiți vigilenți în mediul online, să nu credeți că totul este în regulă și să dați ascultare vocii interioare care vă spune că ceva nu este în regulă. Chiar dacă noi românii avem tendința să spunem că nimeni nu este interesat să ne spargă nouă conturile, iată că această procedură nu este chiar atât de complicată, iar rezultatele pot fi extrem de benefice pentru cei care nu au altceva mai bun să facă decât să distrugă viețile altora.

Am văzut pe site-urile mai multor bănci avertismente cu privire la acest lucru. Frauda de tip phishing este foarte des folosită. Banca pe care o folosim aici în Malawi are următorul mesaj:

Un atașament de acest gen poate duce la blocarea tuturor conturilor pe care le dețineți, în cel mai bun caz, sau chiar la golirea conturilor bancare, în cel mai rău caz. Internetul este plin de oameni care au plătit cu vârf pentru un moment de neatenție, de aceea, încă o dată vă rog, fiți atenți!

Rugați-vă pentru noi!
Rugați-vă pentru Malawi!

Bookmark the permalink.

Comments are closed.