Jeśli dostaliście maila o tytule „your domain has been expired (tutaj nazwa Waszej domeny), a jako nadawca widnieje WordPress, to jestem więcej niż pewien, że jest to oszustwo. Pokażę Wam, jak to sprawdzić.
Mail, o którym piszę, czyli gdzie jako nadawca widnieje WordPress – ale jedynie w nazwie wyświetlanej, bo już adres e-mail świadczy o czym innym, ale o tym za moment, a w tytule pojawia się fraza: your domain has been expired, to nic innego jak typowy phishing, którego w sieci jest mnóstwo. Osobiście wydaje mi się, że są prowadzone cykliczne kampania phishingowe, bo dostaję tego typu maile na przykład raz w tygodniu przez jakiś okres. Później następuje przerwa, by uderzyć ponownie.
Zanim jednak przejdę do omówienia poszczególnych elementów tego e-maila, przypomnę Wam czym jest phishing. Generalnie phishing to jedna z najbardziej popularnych i zarazem znanych metod ataków, które wykorzystują wiadomości e-mail, bądź SMS. No dobra, na Whatsappie czy Messengerze też potrafią się pojawić. W zasadzie to w każdym komunikatorze, bo chodzi o to, by tak podejść odbiorcę, aby wykonał określone działanie, czyli kliknął konkretny link na przykład. Dlatego najczęstszym, a zarazem najbardziej skutecznym kanałem jest e-mail, bądź SMS. Zwłaszcza, że cyberprzestępcy tak, jak w opisywanym przeze mnie przypadku, lubią podszywać się pod firmy czy instytucje, które darzymy zaufaniem, bądź z którymi mamy jakąkolwiek relację na linii klient – usługodawca. Stąd wiadomości od na przykład firm kurierskich, banków czy jak ma to miejsce w tym przypadku – od WordPress. Oczywiście nie ma to nic wspólnego z prawdą, a ma na celu jedynie zachęcenie odbiorcy do kliknięcia w link znajdujący się w wysłanej wiadomości.
Jak rozpoznać fałszywy e-mail
Przyjrzyjmy się teraz wiadomości, którą dostałem. Poniżej screen całego maila, a później będę analizował jego poszczególne elementy.
Jak widać na powyższym screenie pewnie niektórzy się nabierają. W innym przypadku tego typu maile nie byłyby wysyłane. Dla mnie na pierwszy rzut oka pachnie to oszustwem, ale po kolei:
WordPressa używam niemal od 10 lat. Dla różnych swoich stron i projektów. Uwierzcie, że nigdy, ale to nigdy nie zdarzyło się, bym otrzymał jakiegokolwiek maila. To po pierwsze. Po drugie moje domena nie jest hostowana przez WordPress. Po trzecie do WordPressa nie mam przypisanej żadnej metody płatności, bo narzędzie to jest bezpłatne. To tak na dzień dobry. Tyle wystarczy, by maila uznać za spam i usunąć. Natomiast jeśli nadal nie jesteście o tym przekonani, idźmy dalej.
Nazwa wyświetlana to jedno, ale cała magia dzieje się w adresie nadawcy. Wystarczy, że klikniecie sobie na nazwę, a pokaże Wam się adres. Nie wiem, jak Wam, ale mnie „report@erwanbalanca.fr” mocno średnio kojarzy się z adresem i domeną WordPress.org. Piszę to dość ironicznie, ale prawda jest taka, że weryfikować adres nadawcy zawsze warto. Już chyba wiecie, dlaczego.
To jednak nie koniec. Podobną rzecz możecie zrobić z linkiem ukrytym pod przyciskiem CTA, w naszym przypadku tym niebieskim. Zobaczcie zresztą sami:
Myślę, że na przykładzie tego maila pokazałem Wam wystarczająco dużo sposobów, jak zweryfikować pochodzenie wiadomości, która może okazać się phishingiem. Tego typu wiadomości przychodzą od podmiotów podszywających się pod instytucje finansowe – banki, firmy kurierskie czy tak jak widzicie powyżej – nawet firmy dostarczające oprogramowanie open source.
Najważniejsze w tym wszystkim jest zachowanie czujności i zdrowego rozsądku. Jeśli nie macie konta w danym banku, mało prawdopodobne jest, że zwróci się do Was z prośbą o kliknięcie w link. Jeśli nie wysyłaliście paczki, nie macie powodu, by do niej dopłacać. W ogóle nie ma takiej opcji, by do nadanej paczki dopłacać. Podobnie z rachunkami za energię czy inne usługi. Po prostu bądźcie czujni i nie dajcie się nabierać. A weryfikacja pochodzenia nieznanych wiadomości, powinna być Waszym nawykiem. To łatwiejsze do wypracowania niż dieta czy codzienne ćwiczenia.