10Sep

Tiešsaistes drošība: pikšķerēšanas e-pasta anatomijas sagraušana


Mūsdienu pasaulē, kur ikviena informācija ir tiešsaistē, pikšķerēšana ir viens no populārākajiem un postošajiem tiešsaistes uzbrukumiem, jo ​​jūs vienmēr varat tīrīt vīrusu, bet, ja jūsu bankas dati ir nozagti, jums ir problēmas. Lūk, šāda viena uzbrukuma sajaukšana.

Nedomājiet, ka svarīgi ir tikai jūsu bankas dati: galu galā, ja kāds iegūst kontroli pār jūsu konta pieteikšanos, viņi ne tikai zina šajā kontā esošo informāciju, bet šķiet, ka tā pati pieteikšanās informācija var tikt izmantota dažādosciti konti. Ja viņi kompromitē jūsu e-pasta kontu, viņi var atiestatīt visas jūsu citas paroles.

Tāpēc papildus spēcīgu un mainīgu paroļu saglabāšanai jums vienmēr ir jācenšas maldināt e-pastus, kas maskējas kā reālā lieta. Lai gan lielākā daļa pikšķerēšanas mēģinājumu ir neprognozējami, daži no tiem ir diezgan pārliecinoši, tāpēc ir svarīgi saprast, kā tos atpazīt virsmas līmenī, kā arī to, kā viņi strādā zem kapes.

Image by asirap

Pārbaudiet, kas ir plaši redzams

Mūsu e-pasta piemērs, piemēram, lielākā daļa pikšķerēšanas mēģinājumu, "paziņo" par jūsu PayPal konta darbību, kas parastos apstākļos varētu būt satraucoša. Tādēļ aicinājums rīkoties ir pārbaudīt / atjaunot jūsu kontu, iesniedzot gandrīz katru personisko informāciju, kuru jūs varat domāt. Atkal, tas ir diezgan formulīgs.

Lai gan noteikti ir izņēmumi, gandrīz katrs pikšķerēšanas un krāpšanās e-pasts tiek ielādēts ar sarkanajiem karogiem tieši pašā ziņojumā.Pat ja teksts ir pārliecinošs, jūs parasti varat atrast daudzas kļūdas, kas pakļautas visā vēstījuma ķermenī, kas norāda, ka ziņojums nav likumīgs.

Ziņojuma korpuss

No pirmā acu uzmetiena šis ir viens no labākajiem pikšķerēšanas e-pasta ziņojumiem, kurus esmu redzējis. Nav pareizrakstības vai gramatisko kļūdu, un verbiage skan atbilstoši tam, ko jūs varētu gaidīt. Tomēr ir daži sarkani karodziņi, kurus jūs varat redzēt, nedaudz detalizētāk izpētot saturu.

  • "Paypal" - pareizais gadījums ir "PayPal"( kapitāls P).Jūs varat redzēt, ka abas variācijas tiek izmantotas ziņojumā.Uzņēmumi ir ļoti apzināti ar savu zīmolu, tāpēc ir apšaubāmi kaut kas līdzīgs šim varētu nodot koriģēšanas procesu.
  • "allow ActiveX" - cik reizes jūs esat redzējuši legālu tīmekļa uzņēmumu, PayPal izmērs izmanto patentētu komponentu, kas darbojas tikai vienā pārlūkprogrammā, it īpaši, ja tās atbalsta vairākas pārlūkprogrammas? Protams, kaut kur tur kaut kāds uzņēmums to dara, bet tas ir sarkans karogs.
  • "droši." - Ievērojiet, kā šis vārds neparādās rezervē ar pārējā rindkopas tekstu. Pat ja es vēl stiept logu nedaudz vairāk, tas netiks aptumšots un netiks pareizi ievietots.
  • "Paypal!" - pirms izsaukuma zīmes izskatās neērti. Tikai vēl viens kvorks, ko esmu pārliecināts, nebūtu legitā e-pastā.
  • "PayPal-Konta atjaunināšanas forma.pdf.htm" - Kāpēc Paypal jāpievieno "PDF", jo īpaši, ja viņi varētu vienkārši pievienot saiti uz viņu vietnes lapu? Turklāt, kāpēc viņi centīsies noslēpt HTML failu kā PDF failu? Tas ir vissmagākais sarkanais karogs.

Ziņojuma galvene

Kad paskatās uz ziņu galveni, parādās pāris sarkanie karodziņi:

  • No adreses ir [email protected].
  • Uz adresi trūkst. Es to neizdevu, tas vienkārši nav daļa no standarta ziņu galvenes. Parasti uzņēmums, kuram ir jūsu vārds, personalizēs jums e-pastu.

Pielikums

Kad es atveru pielikumu, jūs varat uzreiz redzēt izkārtojumu nav pareizi, jo trūkst informācijas par stilu. Vēlreiz, kāpēc PayPal nosūtītu e-pastu uz HTML formu, kad tās varēja vienkārši pievienot saiti savā vietnē?

Piezīme: mēs izmantojām Gmail iebūvēto HTML pielikumu skatītāju, taču mēs iesakām jums NEPILNOTIES pielikumus no scammers. NekadJebkadTie ļoti bieži satur ekspluatācijas, kas datorā ļaus instalēt trojanus, lai nozagtu jūsu konta informāciju.

Pārlūkojot mazliet vairāk, jūs varat redzēt, ka šī veidlapa pieprasa ne tikai mūsu PayPal pieteikšanās informāciju, bet arī bankas un kredītkaršu informāciju. Daži attēli ir salauzti.

Ir acīmredzams, ka šis pikšķerēšanas mēģinājums notiek pēc viss ar vienu uzlīmēšanu.

Tehniskais sadalījums

Lai gan tam jābūt diezgan skaidram, pamatojoties uz to, kas ir redzams, ka tas ir pikšķerēšanas mēģinājums, mēs tagad pārtrauksim e-pasta tehnisko sastāvu un redzēsim to, ko mēs varam atrast.

informācija no pielikuma

Pirmā lieta, kas jāņem vērā, ir pielikuma veidlapas HTML avots, kas datus iesniedz fiktīvā vietnē.

Kad ātri aplūkojot avotu, visas saites šķiet derīgas, jo tās norāda uz "paypal.com" vai "paypalobjects.com", kas abi ir likumīgi.

Tagad mēs apskatīsim kādu galveno lapu informāciju Firefox apkopo lapā.

Kā redzat, daži no grafika tiek izvilkti no domēniem "blessedtobe.com", "goodhealthpharmacy.com" un "pic-upload.de", nevis legit PayPal domēnus.

Informācija no e-pasta galvenes

Tālāk mēs apskatīsim neapstrādātās e-pasta ziņu galvenes. Gmail to dara pieejamu, izmantojot ziņojuma opciju Rādīt sākotnējo izvēlni.

Aplūkojot oriģinālā ziņojuma galvenes informāciju, jūs varat redzēt, ka šis ziņojums tika izveidots, izmantojot programmu Outlook Express 6. Man ir šaubas, ka PayPal ir kāds personāls, kas katru ziņojumu sūta manuāli, izmantojot novecojušo e-pasta klientu.

Tagad, aplūkojot maršrutēšanas informāciju, mēs varam redzēt gan sūtītāja, gan pārsūtīšanas pasta servera IP adresi.

"Lietotāja" IP adrese ir sākotnējais sūtītājs. Veicot ātru IP informācijas meklēšanu, mēs varam redzēt, ka nosūtīšanas IP atrodas Vācijā.

Un, aplūkojot e-pasta servera( mail.itak.at), IP adresi, mēs redzam, ka tas ir ISP, kas atrodas Austrijā.Es šaubos par to, ka PayPal maršrutē savus e-pastus tieši ar Austrijas interneta pakalpojumu sniedzēja starpniecību, ja viņiem ir liela serveru fermā, kas varētu viegli izpildīt šo uzdevumu.

Kur notiek datu pārsūtīšana?

. Tātad mēs esam skaidri noteikuši, ka šis ir pikšķerēšanas e-pasts un ir savākta informācija par to, no kurienes tika izveidots ziņojums, bet kas par to, kur tiek nosūtīti jūsu dati?

Lai to aplūkotu, mums vispirms vispirms ir jāuzglabā HTM pielikums, vai mūsu darbvirsma ir atvērta teksta redaktorā.Pārlūkojot to, šķiet, ka viss ir kārtībā, izņemot gadījumus, kad mēs nokļūstam aizdomīgu meklējamā Javascript blokā.

Pārtraucot pilnu Javascript bloka avotu, mēs redzam: