Интернет-безопасность: нарушение анатомии фишинговой почты

Оглавление:

Интернет-безопасность: нарушение анатомии фишинговой почты
Интернет-безопасность: нарушение анатомии фишинговой почты

Видео: Интернет-безопасность: нарушение анатомии фишинговой почты

Видео: Интернет-безопасность: нарушение анатомии фишинговой почты
Видео: 4. Панель быстрого доступа( Базовый курс) - YouTube 2024, Апрель
Anonim
В сегодняшнем мире, где вся информация находится в сети, фишинг - одна из самых популярных и разрушительных онлайн-атак, потому что вы всегда можете очистить вирус, но если ваши банковские реквизиты украдены, у вас проблемы. Вот разбивка одной такой атаки, которую мы получили.
В сегодняшнем мире, где вся информация находится в сети, фишинг - одна из самых популярных и разрушительных онлайн-атак, потому что вы всегда можете очистить вирус, но если ваши банковские реквизиты украдены, у вас проблемы. Вот разбивка одной такой атаки, которую мы получили.

Не думайте, что важны только ваши банковские реквизиты: в конце концов, если кто-то получает контроль над вашей учетной записью, они не только знают информацию, содержащуюся в этой учетной записи, но и вероятность того, что одна и та же информация для входа может быть использована для различных Счета. И если они скомпрометируют вашу учетную запись электронной почты, они могут сбросить все ваши другие пароли.

Таким образом, помимо сохранения сильных и разнообразных паролей, вы всегда должны быть в поиске фальшивых писем, которые маскируются как настоящие. Хотя большинство попыток фишинга являются дилетантскими, некоторые из них довольно убедительны, поэтому важно понимать, как распознавать их на уровне поверхности, а также как они работают под капотом.

Изображение пользователя asirap

Изучение того, что находится в простом взгляде

Наш пример электронной почты, как и большинство попыток фишинга, «уведомляет» вас о деятельности на вашей учетной записи PayPal, которая при нормальных обстоятельствах была бы тревожной. Таким образом, призыв к действию состоит в том, чтобы проверить / восстановить свою учетную запись, отправив почти каждый кусочек личной информации, о которой вы можете думать. Опять же, это довольно шаблонный.

Хотя, безусловно, есть исключения, почти все фишинг и афера электронной почты загружаются красными флагами непосредственно в самом сообщении. Даже если текст убедителен, вы обычно можете найти много ошибок, замусоренных в теле сообщения, которые указывают, что сообщение не является законным.

Тело сообщения

На первый взгляд, это один из лучших фишинговых писем, которые я видел. Не существует орфографических или грамматических ошибок, и словосочетание читается в соответствии с тем, что вы ожидаете. Однако есть несколько красных флагов, которые вы можете увидеть, когда вы внимательно изучите контент.
На первый взгляд, это один из лучших фишинговых писем, которые я видел. Не существует орфографических или грамматических ошибок, и словосочетание читается в соответствии с тем, что вы ожидаете. Однако есть несколько красных флагов, которые вы можете увидеть, когда вы внимательно изучите контент.
  • «Paypal» - Правильный случай - «PayPal» (капитал P). Вы можете видеть, что оба варианта используются в сообщении. Компании очень разборчивы с их брендингом, поэтому вряд ли что-то вроде этого пройдет процесс проверки.
  • «Разрешить ActiveX». Сколько раз вы видели законный веб-бизнес, размер Paypal использует проприетарный компонент, который работает только в одном браузере, особенно когда он поддерживает несколько браузеров? Конечно, где-то там какая-то компания делает это, но это красный флаг.
  • «Безопасно». - Обратите внимание, как это слово не выстраивается в поле с остальным текстом абзаца. Даже если я растягиваю окно немного больше, он не будет правильно обертывать или пробел.
  • «Paypal!» - пространство перед восклицательным знаком выглядит неудобно. Еще одна причуда, которая, я уверен, не будет в законном письме.
  • «PayPal-Account Update Form.pdf.htm» - Почему Paypal присоединяет «PDF», особенно когда они могут просто ссылаться на страницу на своем сайте? Кроме того, почему они пытаются скрыть HTML-файл как PDF? Это самый большой красный флаг.

Заголовок сообщения

Когда вы посмотрите на заголовок сообщения, появится еще несколько красных флагов:
Когда вы посмотрите на заголовок сообщения, появится еще несколько красных флагов:
  • Адрес от [email protected].
  • Недопустимый адрес. Я не скрывал этого, он просто не является частью стандартного заголовка сообщения. Обычно компания, которая имеет ваше имя, будет персонализировать электронную почту для вас.

Вложение

Когда я открываю вложение, вы можете сразу увидеть, что макет неправильный, так как отсутствует информация о стиле. Опять же, почему PayPal отправляет HTML-форму, когда они могут просто дать вам ссылку на свой сайт?

Замечания: для этого мы использовали встроенный просмотрщик вложений в формате Gmail, но мы рекомендуем вам НЕ ОТКРЫТЬ вложения от мошенников. Никогда. Когда-либо. Они очень часто содержат эксплойты, которые будут устанавливать трояны на вашем ПК, чтобы украсть вашу учетную информацию.

Прокручивая еще немного, вы можете видеть, что эта форма запрашивает не только нашу регистрационную информацию PayPal, но и информацию о банковской и кредитной карте. Некоторые из изображений сломаны.
Прокручивая еще немного, вы можете видеть, что эта форма запрашивает не только нашу регистрационную информацию PayPal, но и информацию о банковской и кредитной карте. Некоторые из изображений сломаны.
Очевидно, эта попытка фишинга идет полным ходом.
Очевидно, эта попытка фишинга идет полным ходом.

Техническая разбивка

Хотя это должно быть довольно ясно, исходя из того, что на первый взгляд, что это попытка фишинга, мы теперь собираемся сломать технический состав электронной почты и посмотреть, что мы можем найти.

Информация из приложения

Первое, на что нужно обратить внимание, это HTML-код формы вложения, который представляет данные на фиктивный сайт.

При быстром просмотре источника все ссылки выглядят действительными, поскольку они указывают на «paypal.com» или «paypalobjects.com», которые являются законными.

Image
Image

Теперь мы рассмотрим некоторые основные сведения о странице, которые Firefox собирает на странице.

Как вы можете видеть, некоторые графики выводятся из доменов «blessedtobe.com», «goodhealthpharmacy.com» и «pic-upload.de» вместо законных доменов PayPal.
Как вы можете видеть, некоторые графики выводятся из доменов «blessedtobe.com», «goodhealthpharmacy.com» и «pic-upload.de» вместо законных доменов PayPal.
Image
Image

Информация из заголовков электронной почты

Затем мы рассмотрим исходные заголовки сообщений электронной почты. Gmail делает это доступным через пункт меню «Показать исходное меню» в сообщении.

Если посмотреть на информацию заголовка для исходного сообщения, вы можете увидеть, что это сообщение было составлено с помощью Outlook Express 6. Я сомневаюсь, что у PayPal есть кто-то из сотрудников, который отправляет каждое из этих сообщений вручную через устаревший почтовый клиент.
Если посмотреть на информацию заголовка для исходного сообщения, вы можете увидеть, что это сообщение было составлено с помощью Outlook Express 6. Я сомневаюсь, что у PayPal есть кто-то из сотрудников, который отправляет каждое из этих сообщений вручную через устаревший почтовый клиент.
Теперь, глядя на информацию о маршрутизации, мы можем видеть IP-адрес как отправителя, так и ретрансляционного почтового сервера.
Теперь, глядя на информацию о маршрутизации, мы можем видеть IP-адрес как отправителя, так и ретрансляционного почтового сервера.
IP-адрес «Пользователь» является исходным отправителем. Просматривая IP-информацию, мы можем видеть, что IP-адрес отправки находится в Германии.
IP-адрес «Пользователь» является исходным отправителем. Просматривая IP-информацию, мы можем видеть, что IP-адрес отправки находится в Германии.
И когда мы смотрим на адрес ретрансляционного почтового сервера (mail.itak.at), IP-адрес, мы можем видеть, что это интернет-провайдер, базирующийся в Австрии. Я сомневаюсь, что PayPal направляет свои электронные письма непосредственно через интернет-провайдера из Австрии, когда у них есть массивная ферма серверов, которая может легко справиться с этой задачей.
И когда мы смотрим на адрес ретрансляционного почтового сервера (mail.itak.at), IP-адрес, мы можем видеть, что это интернет-провайдер, базирующийся в Австрии. Я сомневаюсь, что PayPal направляет свои электронные письма непосредственно через интернет-провайдера из Австрии, когда у них есть массивная ферма серверов, которая может легко справиться с этой задачей.
Image
Image

Куда идут данные?

Таким образом, мы четко определили, что это фишинг-адрес электронной почты, и собрал некоторую информацию о том, откуда возникло сообщение, но как насчет отправки ваших данных?

Чтобы увидеть это, мы должны сначала сохранить вложение HTM на наш рабочий стол и открыть его в текстовом редакторе. Прокручивая его, все, кажется, в порядке, за исключением случаев, когда мы попадаем в подозрительный блок Javascript.

Image
Image

Разбивая полный источник последнего блока Javascript, мы видим:

В любое время, когда вы видите большую переплетенную строку, казалось бы, случайных букв и цифр, встроенных в блок Javascript, обычно это что-то подозрительное. Глядя на код, переменная «x» устанавливается на эту большую строку и затем декодируется в переменную «y». Окончательный результат переменной «y» затем записывается в документ как HTML.

Поскольку большая строка состоит из чисел 0-9 и букв a-f, она, скорее всего, кодируется с помощью простого преобразования ASCII в Hex:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

Переведено на:

Совсем не случайно, что это расшифровывается как допустимый тег HTML-формы, который отправляет результаты не в PayPal, а на сайт-изгоев.

Кроме того, когда вы просматриваете HTML-код формы, вы увидите, что этот тег формы не отображается, потому что он генерируется динамически через Javascript. Это умный способ скрыть то, что на самом деле делает HTML, если кто-то просто просмотрел сгенерированный источник вложения (как мы это делали ранее), в отличие от открытия вложения непосредственно в текстовом редакторе.

Запустив быстрый whois на злоумышленном сайте, мы видим, что это домен, размещенный на популярном веб-узле 1and1.
Запустив быстрый whois на злоумышленном сайте, мы видим, что это домен, размещенный на популярном веб-узле 1and1.
Что выделяется, домен использует читаемое имя (в отличие от чего-то вроде «dfh3sjhskjhw.net»), и домен зарегистрирован на 4 года. Из-за этого я считаю, что этот домен был захвачен и использован в качестве пешки в этой попытке фишинга.
Что выделяется, домен использует читаемое имя (в отличие от чего-то вроде «dfh3sjhskjhw.net»), и домен зарегистрирован на 4 года. Из-за этого я считаю, что этот домен был захвачен и использован в качестве пешки в этой попытке фишинга.

Цинизм - хорошая защита

Когда дело доходит до безопасного пребывания в Интернете, никогда не бывает больно цинично.

Хотя я уверен, что в приведенном выше электронном письме больше красных флагов, то, что мы указали выше, являются показателями, которые мы видели после нескольких минут экзамена. Гипотетически, если поверхностный уровень электронной почты подражал его законному коллеге на 100%, технический анализ все равно покажет его истинную природу. Вот почему он импорт, чтобы иметь возможность исследовать то, что вы можете и не можете видеть.

Рекомендуемые:

Как переключить поставщиков веб-почты без потери всей электронной почты

Как переключить поставщиков веб-почты без потери всей электронной почты

Используете ли вы службу веб-почты, которой вы недовольны, потому что именно там находится ваша электронная почта? Есть хорошая новость - вы можете легко переключаться, не теряя при этом старую электронную почту и контакты, и не пропуская электронную почту, отправленную на ваш старый адрес.

Mañana Mail надстройка для Outlook: рассылка почты, отмена или отмена отправки почты

Mañana Mail надстройка для Outlook: рассылка почты, отмена или отмена отправки почты

Mañana Mail надстройка для Outlook предоставляет возможность планировать вашу почту, а также отменяет отмену отправленной почты, после нажатия кнопки «Отправлять».

Что такое цифровое нарушение: определение, значение, примеры

Что такое цифровое нарушение: определение, значение, примеры

Что означает Digital Disruption? В этом сообщении объясняется его определение, что означает примеры. Также посмотрите, как он отличается от Disruptive Technology.

План реагирования на нарушение безопасности данных - eBook от Microsoft

План реагирования на нарушение безопасности данных - eBook от Microsoft

Узнайте, как реализовать план реагирования на нарушения, чтобы уменьшить влияние нарушения безопасности данных в вашей организации. Загрузите эту бесплатную электронную книгу от Microsoft.

Как сообщить о фишинговой электронной почте в Outlook

Как сообщить о фишинговой электронной почте в Outlook

Outlook в Интернете или Outlook.com предлагает вам возможность сообщать о подозрительных фишинговых сообщениях Microsoft. Чтобы сообщить о фишинговой электронной почте в клиенте Microsoft Outlook 2016, установите надстройку Microsoft Junk E-mail Reporting для Microsoft Outlook.