Podzielcie się z bliskimi prostą metodą na odróżnienie strony fałszywej od prawdziwej

dodał 6 maja 2021 o 07:46 w kategorii Info, Socjo  z tagami:
Podzielcie się z bliskimi prostą metodą na odróżnienie strony fałszywej od prawdziwej

Przestępcy uwielbiają wykorzystywać popularne marki, by budować zaufanie u swoich ofiar. Użycie znajomego logo pomaga przekonać, że strona jest prawdziwa. Jak zatem najprościej rozpoznać, która strona to pułapka zastawiona przez oszustów?

Dzisiaj pokażemy wam skuteczną metodą odróżniania stron prawdziwych od fałszywych, której możecie nauczyć swoich bliskich, krewnych i znajomych.

Tekst pisany kursywą skierowany jest do osób bardziej świadomych zagrożeń. Często jako środowisko zajmujące się bezpieczeństwem oburzamy się „jak on mógł podać swoje dane na tej stronie, przecież widać, że jest fałszywa”. Zamiast się oburzać, lepiej pomyśleć, jak najprościej zwykły użytkownik może rozpoznać stronę złodzieja. I nie, analizowanie certyfikatów SSL to nie jest prosta metoda (o próbie zrobienia tego na telefonie nie wspominając).

Przykłady fałszywych stron

Metodę pokażemy na przykładzie dwóch fałszywych witryn podszywających się pod markę InPost. Poniższe przykłady pochodzą z dwóch różnych scenariuszy oszustwa. Jeśli chcecie poznać, do czego prowadzą, pokazujemy dalsze kroki oszustwa pod koniec artykułu.

Strona użyta w oszustwie prowadzącym do wyłudzenia danych karty płatniczej pod pretekstem otrzymania płatności za towar:

Strona użyta w oszustwie prowadzącym do wyłudzenia danych logowania do banku lub pozwalającym na podpięcie aplikacji mobilnej banku:

Wprawne oko czytelników zauważy, że witryny mają inne adresy, niż oficjalne strony InPost. Nie każde oko jest jednak równie wprawne – powodów może być co najmniej kilka:

  • wielu użytkowników nie wie, że transakcje związane z usługami InPost powinny odbywać się na stronach InPost lub jej partnerów,
  • wielu użytkowników nie zna prawidłowych adresów strony InPost lub jej partnerów,
  • wielu użytkowników nie wie, co to takiego ten cały „adres strony” i gdzie go szukać (nasz ulubiony cytat „w coś tam klikam i paczka przychodzi”).

Jak zatem pokazać, które strony z daleka wołają „jestem oszustwem”?

Różne przeglądarki w różny sposób pokazują pasek adresu. Ich zachowanie zmienia się w czasie. Staraliśmy się, by opisywana przez nas metoda działała w każdej przeglądarce, na każdym komputerze czy smartfonie – jeśli traficie na konfigurację, w której się nie sprawdza, dajcie znać w komentarzach.

Pasek w centrum uwagi

Osoby weryfikujące prawdziwość strony powinny skupić się na pasku adresu. Zawsze znajdą go na górze strony – czy to na komputerze, czy telefonie. Niestety różne przeglądarki wyświetlają go w różny sposób. Poniżej po kolei Chrome, Firefox i Safari, najpierw na iPhone.

Zarówno Chrome, jak i Safari nie wyświetlają wielu użytecznych informacji. Tymczasem Chrome, Firefox, Safari po kliknięciu w pasek na iPhonie:

Teraz trochę lepiej to wygląda, prawda? A tak to wygląda na komputerze. Ponownie Chrome, Firefox, Safari:

Wszystkie trzy paski powinny pokazywać to samo – tymczasem Chrome ukrywa ciąg „https://”, a Safari ukrywa wszystko oprócz nazwy domeny. Jak temu zaradzić? Trzeba kliknąć w pasek. Oto efekty, ponownie Chrome, Firefox, Safari:

Co prawda, na smartfonie przewinięcie paska adresu jest dość uciążliwe, ale dzięki temu, że możemy wyświetlić jego pełną zawartość, możemy teraz wytłumaczyć, jak sprawdzić poprawność adresu. Weźmy do porównania pierwszą stronę przestępców:

Jeśli ofiara czyta adres w pasku, to znajdzie tam „inpost.pl” i może uwierzyć, że trafiła na prawdziwą stronę. Jak zatem wytłumaczyć, gdzie zaczyna się i kończy prawdziwa domena?

Po kliknięciu w pasek adresu trzeba zweryfikować, czy zaczyna się od „https://”. Co prawda, ponad 99% z badanych przez nas stron przestępców posiada certyfikat SSL, ale ten krok jest istotny dla dalszej analizy.

UWAGA! Powtarzajcie wszystkim słuchającym: kłódka nie ma znaczenia. Wiele osób nadal pamięta wskazówki sprzed lat „sprawdź, czy strona ma kłódkę”. To od dawna nieaktualne i trzeba to ludziom nadal uświadamiać. Kłódka nie ma znaczenia! Praktycznie wszystkie strony przestępców także mają dzisiaj kłódkę.

Potem trzeba znaleźć trzeci ukośnik (znak „/”). Dwa pierwsze są po „https:”, trzeci jest najważniejszy – to na nim kończy się prawdziwa domena. Trzeba zatem przeczytać znaki między drugim a trzecim ukośnikiem – i jeśli nie ma tam ciągu „inpost.pl” i tylko ciągu „inpost.pl”, to nie jesteśmy na stronie InPostu.

Jak widać na przykładzie strony złodziei, ciąg między drugim a trzecim ukośnikiem to „inpost.pl-gotorder.work” – co jednoznacznie wskazuje, że jest to witryna przestępców.

W drugim przykładzie strony przestępców zadanie jest jeszcze prostsze. Oto jej pasek adresu:

Tu adres strony złodziei to „teacriss-edlechs.xyz”, nie próbuje nawet udawać strony InPostu.

Dlaczego złodzieje używają domen, które nawet nie próbują udawać prawdziwych? Powody są dwa. Po pierwsze, użycie słowa kluczowego, np. „inpost”, w adresie ułatwia zlokalizowanie strony, zanim jeszcze zostanie użyta do przestępstwa i jej zablokowanie. Po drugie użytkownicy nie czytają pasków adresu…

Oto podsumowanie metody weryfikacji strony InPostu w 5 krokach:

  1. Kliknij w pasek adresu.
  2. Sprawdź, czy zaczyna się od „https://” – jeśli nie, to nie używaj strony.
  3. Znajdź trzeci ukośnik.
  4. Przeczytaj znaki między drugim a trzecim ukośnikiem.
  5. Jeśli jest tam cokolwiek oprócz „inpost.pl” lub coś innego, to nie jesteś na stronie InPost.

Oczywiście jeśli spodziewamy się, że powinniśmy być na stronie Allegro, to weryfikowany adres w pasku powinien brzmieć „allegro.pl” – i odpowiednio dla innych marek.

Uwaga dla ekspertów – tak, istnieje techniczna możliwość podmiany przypisania domeny do adresu IP (przez manipulacje plikiem hosts, użycie złośliwego serwera DNS, manipulacje procesem przeglądarki itp.), przez co witryna będzie wyświetlała prawidłowy adres, ale będzie kontrolowana przez przestępców. Te ataki są dzisiaj tak rzadkie, że nie ma sensu o nich opowiadać zwykłym użytkownikom, którzy mają prawie zerową szansę na nie natrafić.

Podsumowanie

Pokażcie tę instrukcję swoim rodzicom, rodzinie, znajomym – szczególnie tym, którzy korzystają z internetu do zakupów czy bankowości internetowej. Jest nadzieja, że kogoś uda się uratować.

Jeśli macie uwagi do opisanej metody – chętnie ją ulepszymy. I pozwólcie, że powtórzymy – nie, analiza certyfikatów SSL nie jest ani łatwa, ani prosta, ani szybka. Do tego jest w zasadzie niewykonalna na urządzeniach mobilnych. Czekamy na wasze opinie i propozycje.

Z wiadomościami SMS sprawa jest trochę bardziej skomplikowana – w zasadzie nie da się na 100% odróżnić wiadomości prawdziwej od fałszywej. W kolejnym odcinku pokażemy jednak, jak odróżnić wiadomość niebezpieczną od takiej, która nam krzywdy nie zrobi.

Obiecane scenariusze oszustwa

Obiecaliśmy pokazać ciąg dalszy wydarzeń na dwóch złośliwych witrynach, których używaliśmy jako przykładów do ćwiczenia powyżej. Oto one.

Strona użyta w oszustwie prowadzącym do wyłudzenia danych karty płatniczej pod pretekstem otrzymania płatności za towar.

Po tym jak ofiara zostanie wybrana i kliknie w linka otrzymanego na WhatsAppie lub e-mailem, trafia na stronę przygotowaną przez złodzieja pod konkretny przypadek.

Ofiara zostaje poproszona o podanie danych swojej karty pod pretekstem otrzymania w ten sposób płatności za towar.

System „weryfikuje” dane karty (zwróćcie uwagę na marne tłumaczenie – akurat ta grupa nie zainwestowała jeszcze w tłumacza).

W kolejnym kroku ofiara (zwana przez przestępców „mamutem”) jest proszona o podanie salda karty – chodzi o to, by nie tracić czasu na chude mamuty.

Karta najczęściej łączona jest przez przestępców z jednym z wielu wirtualnych portfeli (np. Apple / Google Pay), co wymaga autoryzacji kodem wysyłanym SMS-em. W ten sposób przestępcy wyłudzają kod.

Nieudana próba autoryzacji – oczywiście podaliśmy przestępcy dane nieistniejącej karty.

Drugi scenariusz – strona użyta w oszustwie prowadzącym do wyłudzenia danych logowania do banku lub pozwalającym na podpięcie aplikacji mobilnej banku. Zaczyna się z reguły od wiadomości SMS nakłaniającej do uiszczenia małej kwoty. Po kliknięciu w linka ofiara ląduje na stronie przestępców:

W pierwszym kroku przestępca wzmacnia przekonanie ofiary, że ta faktycznie bierze udział w procesie płatności. W kolejnym prosi o podanie numeru telefonu.

Ostatecznie ofiara trafia na fałszywy panel pośrednika płatności.

W naszym wypadku po wybraniu mBanku wpadliśmy na scenariusz wyłudzenia danych potrzebnych do aktywacji aplikacji mobilnej.

Złodzieje chcą, by ofiara podała PIN służący do aktywacji aplikacji mobilnej, by za jej pomocą wykraść środki (ograniczone limitami mobilnymi, ale dla złodziei nadal atrakcyjne).

Gratulujemy wszystkim, którzy dobrnęli do końca. Nie zapomnijcie podzielić się linkiem z osobami, które mogą tego potrzebować.

W artykule uzupełniliśmy kwestię zwracania uwagi na „kłódkę” w pasku adresu.

Artykuł powstał we współpracy z firmą InPost i otrzymujemy za jego stworzenie i publikację wynagrodzenie.