Trang chủ » làm thế nào để » Bảo mật trực tuyến phá vỡ cấu trúc của một email lừa đảo

    Bảo mật trực tuyến phá vỡ cấu trúc của một email lừa đảo


    Trong thế giới ngày nay nơi thông tin của mọi người đều trực tuyến, lừa đảo là một trong những cuộc tấn công trực tuyến phổ biến và tàn khốc nhất, bởi vì bạn luôn có thể dọn sạch virus, nhưng nếu chi tiết ngân hàng của bạn bị đánh cắp, bạn sẽ gặp rắc rối. Đây là một sự cố của một cuộc tấn công như vậy chúng tôi đã nhận được.

    Đừng nghĩ rằng đó chỉ là chi tiết ngân hàng của bạn rất quan trọng: xét cho cùng, nếu ai đó giành quyền kiểm soát đăng nhập tài khoản của bạn, họ không chỉ biết thông tin trong tài khoản đó, mà tỷ lệ là thông tin đăng nhập tương tự có thể được sử dụng trên nhiều thông tin khác tài khoản. Và nếu họ xâm phạm tài khoản email của bạn, họ có thể đặt lại tất cả các mật khẩu khác của bạn.

    Vì vậy, ngoài việc giữ mật khẩu mạnh và thay đổi, bạn phải luôn cảnh giác với các email giả mạo giả mạo như thật. Mặc dù hầu hết các nỗ lực lừa đảo là nghiệp dư, một số khá thuyết phục nên điều quan trọng là phải hiểu cách nhận biết chúng ở cấp độ bề mặt cũng như cách chúng hoạt động dưới mui xe.

    Hình ảnh của asirap

    Kiểm tra những gì trong đồng bằng

    Email ví dụ của chúng tôi, giống như hầu hết các nỗ lực lừa đảo, thông báo cho bạn về hoạt động trên tài khoản PayPal của bạn, trong trường hợp bình thường, sẽ đáng báo động. Vì vậy, lời kêu gọi hành động là xác minh / khôi phục tài khoản của bạn bằng cách gửi mọi thông tin cá nhân mà bạn có thể nghĩ ra. Một lần nữa, đây là công thức khá.

    Mặc dù chắc chắn có ngoại lệ, khá nhiều email lừa đảo và lừa đảo được tải cờ đỏ trực tiếp trong chính thư. Ngay cả khi văn bản có sức thuyết phục, bạn thường có thể tìm thấy nhiều lỗi sai trong toàn bộ nội dung thư cho biết tin nhắn không hợp pháp.

    Nội dung thư

    Thoạt nhìn, đây là một trong những email lừa đảo tốt hơn mà tôi đã thấy. Không có lỗi chính tả hoặc ngữ pháp và verbiage đọc theo những gì bạn có thể mong đợi. Tuy nhiên, có một vài lá cờ đỏ bạn có thể thấy khi kiểm tra nội dung kỹ hơn một chút.

    • Paypal Paypal - Trường hợp chính xác là PayPal PayPal (vốn P). Bạn có thể thấy cả hai biến thể được sử dụng trong tin nhắn. Các công ty rất cân nhắc với việc xây dựng thương hiệu của họ, vì vậy điều đáng nghi ngờ là một cái gì đó như thế này sẽ vượt qua quá trình kiểm chứng.
    • Cho phép ActiveX ActiveX - Đã bao nhiêu lần bạn thấy một doanh nghiệp dựa trên web hợp pháp kích thước của Paypal sử dụng một thành phần độc quyền chỉ hoạt động trên một trình duyệt, đặc biệt là khi chúng hỗ trợ nhiều trình duyệt? Chắc chắn, ở đâu đó ngoài kia một số công ty làm điều đó, nhưng đây là một lá cờ đỏ.
    • Một cách an toàn. Vách ngăn - Lưu ý cách từ này không xếp hàng trong lề với phần còn lại của văn bản đoạn văn. Ngay cả khi tôi kéo dài cửa sổ thêm một chút, nó cũng không bao bọc hoặc không gian chính xác.
    • Paypal Paypal! Không gian trước dấu chấm than trông thật khó xử. Chỉ cần một cách giải quyết khác mà tôi chắc chắn sẽ không có trong một email hợp pháp.
    • PayPal PayPal- Cập nhật tài khoản Form.pdf.htm - Tại sao Paypal sẽ đính kèm một bản PDF PDF đặc biệt khi họ chỉ có thể liên kết đến một trang trên trang web của họ? Ngoài ra, tại sao họ lại cố gắng ngụy trang một tệp HTML thành PDF? Đây là lá cờ đỏ lớn nhất trong số họ.

    Tiêu đề thư

    Khi bạn nhìn vào tiêu đề thư, một vài lá cờ đỏ khác xuất hiện:

    • Địa chỉ từ là [email protected].
    • Địa chỉ bị thiếu. Tôi không bỏ qua phần này, nó đơn giản không phải là một phần của tiêu đề thư tiêu chuẩn. Thông thường, một công ty có tên của bạn sẽ cá nhân hóa email cho bạn.

    Tài liệu đính kèm

    Khi tôi mở tệp đính kèm, bạn có thể thấy ngay bố cục không chính xác vì nó thiếu thông tin kiểu. Một lần nữa, tại sao PayPal lại gửi email một biểu mẫu HTML khi họ có thể chỉ cần cung cấp cho bạn một liên kết trên trang web của họ?

    Chú thích: chúng tôi đã sử dụng trình xem tệp đính kèm HTML tích hợp của Gmail cho việc này, nhưng chúng tôi khuyên bạn KHÔNG MỞ tệp đính kèm từ những kẻ lừa đảo. Không bao giờ. Không bao giờ. Chúng thường chứa các khai thác sẽ cài đặt trojan trên PC của bạn để đánh cắp thông tin tài khoản của bạn.

    Cuộn xuống một chút nữa bạn có thể thấy rằng hình thức này không chỉ yêu cầu thông tin đăng nhập PayPal của chúng tôi mà còn về thông tin thẻ tín dụng và ngân hàng. Một số hình ảnh bị hỏng.

    Rõ ràng là nỗ lực lừa đảo này đang diễn ra sau tất cả mọi thứ chỉ với một cú đánh.

    Sự cố kỹ thuật

    Mặc dù nó khá rõ ràng dựa trên những gì trong tầm nhìn rõ ràng rằng đây là một nỗ lực lừa đảo, bây giờ chúng tôi sẽ phá vỡ cấu trúc kỹ thuật của email và xem những gì chúng tôi có thể tìm thấy.

    Thông tin từ Tài liệu đính kèm

    Điều đầu tiên cần xem xét là nguồn HTML của biểu mẫu đính kèm, đây là thứ gửi dữ liệu đến trang web không có thật.

    Khi nhanh chóng xem nguồn, tất cả các liên kết có vẻ hợp lệ khi chúng trỏ đến hoặc là pay paypal.com, hoặc paypalobjects.com, cả hai đều hợp pháp.

    Bây giờ chúng ta sẽ xem xét một số thông tin trang cơ bản mà Firefox tập hợp trên trang.

    Như bạn có thể thấy, một số đồ họa được lấy từ các tên miền, blesstobe.com,, good goodhealthpharmacy.com, và pic pic-upload.de, thay vì các miền PayPal hợp pháp.

    Thông tin từ các tiêu đề email

    Tiếp theo chúng ta sẽ xem xét các tiêu đề thư email thô. Gmail cung cấp tính năng này thông qua tùy chọn menu Hiển thị gốc trên tin nhắn.

    Nhìn vào thông tin tiêu đề cho tin nhắn gốc, bạn có thể thấy tin nhắn này được soạn bằng Outlook Express 6. Tôi nghi ngờ PayPal có ai đó trong đội ngũ gửi từng thư này một cách thủ công thông qua ứng dụng email lỗi thời.

    Bây giờ nhìn vào thông tin định tuyến, chúng ta có thể thấy địa chỉ IP của cả người gửi và máy chủ thư chuyển tiếp.

    Địa chỉ IP của người dùng trên mạng là người gửi ban đầu. Thực hiện tra cứu nhanh thông tin IP, chúng ta có thể thấy IP đang gửi ở Đức.

    Và khi chúng ta nhìn vào máy chủ thư chuyển tiếp (mail.itak.at), địa chỉ IP chúng ta có thể thấy đây là một ISP có trụ sở tại Áo. Tôi nghi ngờ PayPal định tuyến email của họ trực tiếp thông qua một ISP có trụ sở tại Áo khi họ có một trang trại máy chủ lớn có thể dễ dàng xử lý công việc này.

    Dữ liệu đi đâu?

    Vì vậy, chúng tôi đã xác định rõ đây là email lừa đảo và thu thập một số thông tin về nguồn gốc của thư, nhưng dữ liệu của bạn được gửi đi đâu?

    Để thấy điều này, trước tiên chúng ta phải lưu tệp đính kèm HTM trên màn hình của chúng tôi và mở trong trình chỉnh sửa văn bản. Cuộn qua nó, mọi thứ dường như theo thứ tự ngoại trừ khi chúng ta đến một khối Javascript đáng ngờ.

    Phá vỡ toàn bộ nguồn của khối Javascript cuối cùng, chúng ta thấy:


    // Bản quyền © 2005 Voormedia - WWW.VOORMEDIA.COM
    một người

    Bất cứ khi nào bạn thấy một chuỗi lớn các chữ cái và số dường như ngẫu nhiên được nhúng trong một khối Javascript, nó thường là một điều đáng ngờ. Nhìn vào mã, biến số xx được đặt thành chuỗi lớn này và sau đó được giải mã thành biến số y y. Kết quả cuối cùng của biến Y y Sau đó được ghi vào tài liệu dưới dạng HTML.

    Do chuỗi lớn được tạo từ các số 0-9 và các chữ cái a-f, nên rất có thể được mã hóa thông qua chuyển đổi ASCII sang Hex đơn giản:

    Cho biết,

    Dịch sang:

    Không phải ngẫu nhiên mà điều này giải mã thành thẻ biểu mẫu HTML hợp lệ gửi kết quả không đến PayPal, mà đến một trang web lừa đảo.

    Ngoài ra, khi bạn xem nguồn HTML của biểu mẫu, bạn sẽ thấy thẻ biểu mẫu này không hiển thị vì nó được tạo động thông qua Javascript. Đây là một cách thông minh để che giấu những gì HTML thực sự đang làm nếu ai đó chỉ đơn giản xem nguồn được tạo của tệp đính kèm (như chúng tôi đã làm trước đó), trái ngược với việc mở tệp đính kèm trực tiếp trong trình soạn thảo văn bản.

    Chạy một whois nhanh trên trang web vi phạm, chúng ta có thể thấy đây là một tên miền được lưu trữ tại một máy chủ web phổ biến, 1and1.

    Điều nổi bật là tên miền sử dụng một tên có thể đọc được (trái ngược với tên gọi như dodh3sjhskjhw.net,) và tên miền đã được đăng ký 4 năm. Vì điều này, tôi tin rằng tên miền này đã bị xâm nhập và sử dụng như một con tốt trong nỗ lực lừa đảo này.

    Sự hoài nghi là một sự bảo vệ tốt

    Khi nói đến việc giữ an toàn trực tuyến, sẽ không bao giờ đau lòng khi có một chút hoài nghi.

    Mặc dù tôi chắc chắn có nhiều cờ đỏ hơn trong email ví dụ, những gì chúng tôi đã chỉ ra ở trên là các chỉ số chúng tôi thấy chỉ sau vài phút kiểm tra. Theo giả thuyết, nếu mức độ bề mặt của email bắt chước 100% đối tác hợp pháp của nó, phân tích kỹ thuật vẫn sẽ tiết lộ bản chất thực sự của nó. Đây là lý do tại sao nó nhập để có thể kiểm tra cả những gì bạn có thể và không thể thấy.