Нов похват във фишинга: фалшив чатбот

Роботите за онлайн обслужване на клиенти са впрегнати в нови схеми за уеб-измами (снимка: CC0 Public Domain)

Киберпрестъпниците постоянно намират нови начини да подмамят потребителите да предоставят ценни лични и финансови данни. Сега нова техника използва фалшив чатбот за изграждане на доверие у жертвите.

За новата тенденция се разбра от доклад от Trustwave, разкриващ поредната ловка техника за фишинг, използвана от киберпрестъпниците за кражба на данни от кредитни карти на интернет потребители.

Един съмнителен имейл

Както често се случва, първоначалният канал за доставка на фишинг измамата е електронната поща. Преструвайки се, че идва от DHL, имейлът споменава проблеми с доставката на пратки. След това на потребителя е поднесен набор от инструкции, за да „спаси“ пратката. За начало потребителят трябва да кликне върху уеб-връзка.

Въпреки че имейлът изглежда легитимен за нетренираното око, внимателното изследване на метадатанните показва, че полето „От:“ не е зададено правилно и не съдържа имейл адрес, както би трябвало.

Линкът за кликване, съдържащ се в имейла, отваря браузъра на потребителя, за да го насочи към PDF файл за изтегляне. PDF съдържанието показва писмо, привидно от DHL, и уверява потребителя, че доставката е пренасочена. За да разреши проблема, потребителят трябва отново да кликне върху връзка. Ако го стори, той се озовава на страница, подобна на чатбот, където се случва истинският фишинг.

На потребителя се показват някои съобщения от бот с молба за потвърждение относно доставката на пакета. Всичко е предварително попълнено, така че потребителят не може да предостави никакво съдържание, а просто трябва да кликне върху два отговора: Да или Не.

След като кликне „Да“, потребителят бива запитан дали иска пакетът да бъде доставен до дома или офиса му. Показва му се и снимка на повреден пакет, за да добави легитимност към измамата.

Фалшиви мерки за сигурност

Накрая ботът казва на потребителя, че трябва да попълни своите данни за доставка, тъй като DHL има само неговото име и телефонен номер или имейл адрес.

Това е често използван метод за изграждане на доверие у жертвите на измами – поднасянето на „мерките за сигурност“ създава фалшиво усещане за пълна защита. Това се прави на следващата стъпка чрез представяне на „captcha“ код. Точно както при чат-бота, тази „captcha“ всъщност е само изображение, а не реална система за проверка.

Накрая, когато потребителят е потвърдил фалшивата „captcha“, предоставил информация за доставката и евентуално предоставил своите идентификационни данни за електронна поща, последният етап на атаката изисква жертвата да предостави информация за кредитната си карта, за да плати доставката на пакета. След като жертвата попълни формуляра, показва се последна страница, изискваща код за сигурност на телефона.

В този момент жертвата може да се усъмни, защото никога не е предоставила никакъв телефонен номер в този процес. Но пък и може да предположи, че DHL вече има този телефонен номер.

Следва странна поредица: на телефонния номер не се изпраща код и въвеждането на произволни числа в крайната страница пренасочва към същата страница, като се посочва, че кодът за сигурност не е валиден. След пет поредни опита обаче се показва страница за потвърждение, която гласи, че всичко е подадено и получено успешно.

Предпазване

Специалистите препоръчват винаги да се вглеждаме в метаданните на имейлите: изпращач, получател, време на изпращане и всички съпътстващи данни. Често пъти те са издайник, ако нещо в едно писмо не е наред. В този случай полето с данните на изпращача е издайническо за измамата.

Коментар