Online sigurnost: razbijanje anatomije e-pošte za krađu identiteta

2024 Autor: Geoffrey Carr | [email protected]. Zadnja promjena: 2023-12-17 10:57

U današnjem svijetu gdje su svi podaci dostupni, phishing je jedan od najpopularnijih i najstrašnijih napada na mreži, jer uvijek možete očistiti virus, ali ako ste ukradeni bankovni podaci, u nevolji ste. Ovo je slom jednog takvog napada koji smo primili.

Nemojte misliti da su vaši bankovni podaci važni: nakon svega, ako netko stekne kontrolu nad prijavom na račun, oni ne samo da znaju informacije sadržane na tom računu, ali izgledi su da se isti podaci za prijavu mogu koristiti na različitim drugim računi. Ako ugroze vaš račun e-pošte, mogu vratiti sve vaše druge zaporke.

Stoga, pored održavanja snažnih i promjenjivih zaporki, uvijek morate biti u potrazi za lažnim e-porukama koje se masquerading kao pravi stvar. Dok su većina pokušaja krađe identiteta amaterski, neki su vrlo uvjerljivi pa je važno razumjeti kako ih prepoznati na površinskoj razini, kao i način na koji rade pod kapuljačom.

Slika od asirap

Ispitivanje Što je u običnom vidiku

Naš primjer e-pošte, poput većine pokušaja krađe identiteta, "obavještava" vas o aktivnosti na vašem PayPal računu koji bi, u normalnim okolnostima, bio alarmantan. Zato je poziv na radnju da potvrdite / vratite svoj račun tako što ćete poslati samo sve pojedinosti o osobnim podacima o kojima se možete sjetiti. Opet, ovo je prilično formulirano.

Iako postoje iznimke, prilično je svaka poruka e-pošte o krađi identiteta i prijevara napunjena crvenim zastavama izravno u samoj poruci. Čak i ako je tekst uvjerljiv, obično možete pronaći mnoge pogreške koje se nalaze u cijelom tijelu poruke, što ukazuje da poruka nije legit.

Tijelo poruke

Na prvi pogled, ovo je jedna od najboljih poruka e-pošte za phishing koje sam vidio. Nema pravopisnih ili gramatičkih pogrešaka, a glagoljica čita prema onome što biste očekivali. Međutim, postoji nekoliko crvenih zastavica koje možete vidjeti kada malo bolje razmotrite sadržaj.

"Paypal" - Točan slučaj je "PayPal" (kapital P). Možete vidjeti kako se obje varijacije koriste u poruci. Tvrtke su vrlo inteligentne s njihovim brendiranjem, pa je dvojbeno da bi nešto slično prolazilo kroz proces proofinga.
"Dopustite ActiveX" - Koliko puta ste vidjeli pravu web-baziranu tvrtku veličina Paypal koristi vlasničku komponentu koja radi samo na jednom pregledniku, pogotovo kada podržavaju više preglednika? Naravno, negdje tamo neka tvrtka to radi, ali ovo je crvena zastava.
"Sigurno". - Primijetite kako se ta riječ ne podudara s marginama s ostatkom teksta odlomka. Čak i ako malo više rastegnem prozor, ne pokriva se ili prostor ispravno.
"Paypal!" - Prostor prije uskličnika izgleda neugodno. Samo još jedan trenutak koji sam siguran da ne bi bio u pravoj e-pošti.
"PayPal-Account Update Form.pdf.htm" - Zašto bi Paypal priložio "PDF" pogotovo kada bi se mogli povezati na stranicu na svojoj web stranici? Osim toga, zašto bi pokušali prikriti HTML datoteku kao PDF? Ovo je najveća crvena zastava svih njih.

Poruka poruke

Kada pogledate zaglavlje poruke, pojavljuje se još nekoliko crvenih zastavica:

Od adrese je [email protected].
Nedostaje adresa za adresu. Nisam to ispraznio, jednostavno nije dio standardne zaglavlja poruke. Obično tvrtka koja ima vaše ime personalizira vam e-poruku.

Privitak

Kada otvorim privitak, odmah možete vidjeti da izgled nije točan jer nedostaje informacija o stilu. Opet, zašto bi PayPal poslao e-poštu u HTML obrazac kad bi vam jednostavno mogli dati vezu na svojoj web stranici?

Bilješka: za to smo koristili ugrađeni preglednik HTML privitaka za ovaj, ali preporučujemo da ne otvarate privitke od zlonamjernih korisnika. Nikada. Ikad. Oni često sadrže eksploatacije koje će instalirati trojance na vaše računalo kako bi ukrali podatke o vašem računu.

Pomicanje dolje malo više možete vidjeti da ovaj obrazac ne traži samo podatke o prijavi za PayPal, već i podatke o bankovnom i kreditnom karticom. Neke su slike slomljene.

Očito je da ovaj pokušaj krađe identiteta ide sve poslije svega.

Tehnička podjela

Iako bi trebalo biti prilično jasno na temelju onoga što je očito da je to pokušaj krađe identiteta, sada ćemo razbiti tehničku sastavnicu e-pošte i vidjeti što možemo pronaći.

Informacije iz privitka

Prva stvar koju treba pogledati je HTML izvor privitka koji je ono što podnosi podatke na lažno mjesto.

Kada brzo pregledavate izvor, svi se veze pojavljuju valjani jer upućuju na "paypal.com" ili "paypalobjects.com" koji su oboje pravilni.

Sada ćemo pogledati neke osnovne informacije o stranicama koje Firefox prikuplja na stranici.

Kao što vidite, neke su grafike povučene s domena "blessedtobe.com", "goodhealthpharmacy.com" i "pic-upload.de" umjesto legit PayPal domena.

Informacije sa zaglavlja e-pošte

Dalje ćemo pogledati zaglavlja neobrađenih poruka e-pošte. Gmail to čini dostupnim putem opcije Prikaži izvorni izbornik u poruci.

Gledajući informacije o zaglavlju za izvornu poruku, možete vidjeti da je ova poruka sastavljena pomoću programa Outlook Express 6. Sumnjam da PayPal ima nekoga na osoblje koje ručno šalje svaku od tih poruka putem zastarjelog klijenta e-pošte.

Sada gledajući podatke o usmjeravanju, možemo vidjeti IP adresu i pošiljatelja i poslužitelja za prosljeđivanje e-pošte.

IP adresa "Korisnik" je izvorni pošiljatelj. Brzo pretraživanje IP informacija može se vidjeti da je IP slanja u Njemačkoj.

I kad pogledamo poslužitelj e-pošte (mail.itak.at), IP adresa možemo vidjeti da je to ISP sa sjedištem u Austriji. Sumnjam da PayPal rutaje svoje e-poruke izravno putem ISP-a u Austriji kada imaju masivnu farmu poslužitelja koja bi mogla lako nositi taj zadatak.

Gdje se podaci kreću?

Zato smo jasno utvrdili da je ovo poruka e-pošte za krađu identiteta i prikupila informacije o tome gdje je poruka potekla, no što je s tim gdje se šalju vaši podaci?

Da biste to vidjeli, prvo moramo spremiti privitak HTM na našu radnu površinu i otvoriti u uređivaču teksta. Pomicanje po njemu čini se da je sve u redu, osim kada dođemo do sumnjivog bloka Javascript.

Razbijanje punog izvora zadnjeg bloka JavaScripta vidimo:

Svaki put kada vidite veliki razmaknute niz naizgled nasumičnih slova i brojeva ugrađenih u blok Java, to je obično nešto sumnjivo. Gledajući kôd, varijabla "x" postavljena je na taj veliki niz, a zatim dekodiran u varijablu "y". Konačni rezultat varijable "y" tada se upisuje u dokument kao HTML.

Budući da je veliki niz izrađen od brojeva 0-9 i slova a-f, najvjerojatnije je kodiran jednostavnim ASCII do Hex pretvorbom:


3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

Prevedeno na:

Nije slučajno da se to dekodira u valjanu oznaku HTML obrasca koja šalje rezultate ne na PayPal, već na mjesto skitnica.

Osim toga, kada vidite HTML izvor obrasca, vidjet ćete da ova oznaka obrasca nije vidljiva jer se dinamički generira putem Javascripta. Ovo je pametan način sakrivanja onoga što HTML zapravo radi ako bi netko jednostavno pogledao generirani izvor privitka (kao što smo ranije učinili) za razliku od otvaranja privitka izravno u uređivaču teksta.

Pokretanje brzog tko je na mjestima na kojima se vrijeđa možemo vidjeti da je ovo domena hostirana na popularnom web hostu, 1and1.

Ono što se ističe je da domena koristi čitljivo ime (za razliku od nešto poput "dfh3sjhskjhw.net") i domena je registrirana 4 godine. Zbog toga vjerujem da je ova domena oteta i upotrijebljena kao pijun u tom pokušaju krađe identiteta.

Cinizam je dobra obrana

Kada je u pitanju siguran boravak on-line, nikada ne boli da ima dobar dio cinizma.

Iako sam siguran da ima više crvenih zastava u primjeru e-pošte, ono što smo gore ukazali su pokazatelji koje smo vidjeli nakon samo nekoliko minuta ispitivanja. Hipotetski, ako je površinska razina e-pošte imitirala svoje legitimne kolege 100%, tehnička analiza još uvijek bi otkrila svoju pravu prirodu. Zato je uvoz biti u mogućnosti ispitati i ono što možete i ne možete vidjeti.