Nemyslite si, že sú to len dôležité bankové údaje: Nakoniec, ak niekto nadobudne kontrolu nad prihlasovaním do účtu, nielenže vie informácie obsiahnuté v danom účte, ale pravdepodobnosť, že rovnaké prihlasovacie informácie môžu byť použité na rôznych iných účty. A ak kompromitujú váš e-mailový účet, môžu obnoviť všetky ostatné heslá.
Takže okrem zachovania silných a rôznorodých hesiel, musíte byť vždy na pozore falošných e-mailov, ktoré sa prelínajú ako skutočná vec. Zatiaľ čo väčšina pokusov o phishing je amatérske, niektoré sú dosť presvedčivé, takže je dôležité pochopiť, ako ich rozpoznať na úrovni povrchu, ako aj ako fungujú pod kapotou.
Obrázok asirap
Skúmanie Čo je v rovine videnie
Náš príklad e-mailu, podobne ako väčšina pokusov o neoprávnené získavanie údajov, vás upozorní na aktivitu na vašom účte PayPal, čo by za normálnych okolností bolo alarmujúce. Takže výzva na akciu je overiť / obnoviť váš účet odoslaním takmer každý kus osobných informácií, o ktorých si môžete myslieť. Opäť je to dosť formálne.
Zatiaľ čo tam určite existujú výnimky, skoro každý phishing a podvod e-mail je načítaný červenými vlajkami priamo v správe sami. Aj keď je text presvedčivý, zvyčajne môžete nájsť veľa správnych chýb v tele správy, ktoré naznačujú, že správa nie je legitímna.
Telo správy
- "Paypal" - Správny prípad je "PayPal" (kapitál P). V správe sa môžu zobraziť obidve varianty. Spoločnosti sú so svojou značkou veľmi zámerné, takže je pochybné, že by sa niečo takéto prejavilo procesom kontroly.
- "Povoliť ActiveX" - koľkokrát ste videli legitný podnik založený na webe veľkosť Paypal používať vlastnú súčasť, ktorá funguje iba na jednom prehliadači, najmä ak podporujú viacero prehliadačov? Určite, niekde tam niečo podnikne, ale je to červená vlajka.
- "Bezpečne." - Všimnite si, ako toto slovo nie je zarovnané na okraji so zvyškom textu odseku. Dokonca aj keď roztiahnem okno o niečo viac, nezakrýva ani správne miesto.
- "Paypal!" - Miesto pred výkričníkom vyzerá nepríjemne. Len ďalší problém, ktorý som si istý, že nebude v legitímnom e-maile.
- "Formulár na aktualizáciu účtu PayPal.pdf.htm" - Prečo by Paypal priložil súbor PDF, najmä ak by mohol odkazovať len na stránku na svojich stránkach? Navyše, prečo by sa pokúsili zamaskovať súbor HTML ako PDF? Toto je najväčšia červená vlajka všetkých z nich.
Hlavička správ
- Adresa je [email protected].
- Chýba adresa. Nerobila som to, jednoducho nie je súčasťou štandardnej hlavičky správy. Zvyčajne spoločnosť, ktorá má vaše meno, vám email prispôsobí.
Príloha
Keď otvorím prílohu, môžete ihneď vidieť, že rozloženie nie je správne, pretože chýbajú informácie o štýle. Opäť platí, prečo by PayPal poslal e-mailovú adresu vo formáte HTML, ktorý by vám mohol jednoducho dať odkaz na svojich stránkach?
Poznámka: v tomto prípade sme použili integrovaný prehliadač príloh v službe Gmail, ale odporúčame vám, aby ste neopúšťali prílohy od podvodníkov. Nikdy. Ever. Veľmi často obsahujú zneužitie, ktoré nainštalujú trójske kone do počítača, aby ste ukradli informácie o vašom účte.
Technický rozpis
Zatiaľ čo by malo byť celkom jasné, na základe toho, čo je zrejmé, že ide o pokus o neoprávnené získavanie údajov, teraz rozdelíme technickú úpravu e-mailu a uvidíme, čo môžeme nájsť.
Informácie z prílohy
Prvá vec, na ktorú sa pozriete, je zdroj HTML formulára prílohy, ktorý podáva dáta na falošné stránky.
Pri rýchlom prehliadaní zdroja sa všetky odkazy zdajú byť platné, pretože odkazujú buď na "paypal.com" alebo na "paypalobjects.com", ktoré sú obaja legitímni.
Informácie z hlavičky e-mailu
Ďalej sa pozrieme na hrubé hlavičky e-mailovej správy. Služba Gmail to sprístupňuje prostredníctvom možnosti Zobraziť ponuku originálu v správe.
A keď sa pozrieme na adresu servera na odosielanie pošty (mail.itak.at), IP adresa môžeme vidieť, že ide o ISP so sídlom v Rakúsku. Pochybujem, že služba PayPal smeruje svoje e-maily priamo prostredníctvom poskytovateľa internetových služieb v Rakúsku, keď majú masívnu serverovú farmu, ktorá by mohla túto úlohu ľahko zvládnuť.
Kde sa dáta pohybujú?
Takže sme si jasne uvedomili, že ide o phishingovú e-mailovú správu a zhromaždili sme informácie o tom, odkiaľ pochádza správa, ale čo sa týka odosielania vašich údajov?
Ak to chcete vidieť, najprv musíte uložiť prílohu HTM na pracovnú plochu a otvoriť ju v textovom editore. Prechádzať to, všetko sa zdá byť v poriadku, až kým sa nedostaneme k podozrivému hľadaniu bloku Javascript.
Kedykoľvek uvidíte rozsiahlu kombináciu zdanlivo náhodných písmen a čísel vložených do bloku Javascript, je to zvyčajne niečo podozrivé. Pri pohľade na kód sa premenná "x" nastaví na tento veľký reťazec a potom sa dekóduje do premennej "y". Konečný výsledok premennej "y" sa potom do dokumentu zapíše ako HTML.
Vzhľadom k tomu, veľký reťazec je vyrobený z čísel 0-9 a písmená a-f, je s najväčšou pravdepodobnosťou zakódované pomocou jednoduchého ASCII to Hex konverzie:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Prekladá sa na:
Nie je to náhoda, že to dekóduje do platného tagu formátu HTML, ktorý odošle výsledky nie do PayPal, ale do nečestného webu.
Okrem toho pri zobrazení zdroja HTML formulára uvidíte, že táto značka formulára nie je viditeľná, pretože je generovaná dynamicky prostredníctvom Javascriptu. Je to šikovný spôsob, ako skryť to, čo HTML skutočne robí, ak niekto jednoducho prezradí generovaný zdroj prílohy (ako sme robili predtým), na rozdiel od otvorenia prílohy priamo v textovom editore.
Cynizmus je dobrá obrana
Pokiaľ ide o to, aby ste zostali bezpečné on-line, nikdy to neublížilo, že by mal dobrý cynizmus.
Aj keď som si istý, že v príkladnom e-maile je viac červených vlajok, to, čo sme uviedli vyššie, sú ukazovatele, ktoré sme videli len po niekoľkých minútach skúšky. Hypoteticky, ak by úroveň povrchu e-mailu napodobňovala jej legitímnu protihodnotu 100%, technická analýza by ešte odhalila jej skutočnú povahu. Preto je dôležité, aby ste mohli skúmať to, čo môžete a čo nemôžete vidieť.