Anasayfa » nasıl » Çevrimiçi Güvenlik Bir Kimlik Avı E-postasının Anatomisini Yıkan

    Çevrimiçi Güvenlik Bir Kimlik Avı E-postasının Anatomisini Yıkan


    Herkesin bilgilerinin çevrimiçi olduğu bugünün dünyasında, phishing en popüler ve en yıkıcı çevrimiçi saldırılardan biridir, çünkü her zaman bir virüsü temizleyebilirsiniz, ancak bankacılık bilgileriniz çalınırsa, başınız belada demektir. İşte aldığımız böyle bir saldırının dökümü..

    Bunun sadece önemli banka bilgilerinizin olduğunu düşünmeyin: sonuçta, birisi hesap giriş bilgilerinizi kontrol ederse, yalnızca o hesapta yer alan bilgileri bilmekle kalmaz, aynı zamanda aynı giriş bilgilerinin çeşitli hesaplarda da kullanılabileceği ihtimalleri vardır. hesapları. Ve eğer e-posta hesabınızı riske atarlarsa, diğer tüm şifrelerinizi de sıfırlayabilirler.

    Bu nedenle, güçlü ve değişken şifreler bulundurmanın yanı sıra, her zaman gerçek şey olarak maskeleyen sahte e-postaları aramaya devam etmelisiniz. Kimlik avı girişimlerinin çoğu amatörce olsa da, bazıları oldukça ikna edicidir, bu yüzden onları yüzey düzeyinde nasıl tanıdıklarını ve başlık altında nasıl çalıştıklarını anlamak önemlidir..

    Görüntü asirap tarafından

    Düz Görüşte Olanların İncelenmesi

    Örnek e-postalarımız, çoğu kimlik avı girişimi gibi, PayPal hesabınızdaki normal koşullarda endişe duyacağınız etkinlikleri size “bildirir”. Dolayısıyla harekete geçirme ifadesi, aklınıza gelebilecek her türlü kişisel bilgiyi göndererek hesabınızı doğrulamak / geri yüklemek içindir. Yine, bu oldukça formül.

    Kesinlikle istisnalar olsa da, hemen hemen her kimlik avı ve dolandırıcılık e-postası doğrudan iletinin içine doğrudan kırmızı bayraklarla yüklenir. Metin inandırıcı olsa bile, mesajın okunaklı olmadığını belirten, mesaj gövdesinde toplanan birçok hata bulabilirsiniz..

    Mesaj Organı

    İlk bakışta, bu gördüğüm en iyi kimlik avı e-postalarından biri. Yazım veya dilbilgisi hataları yoktur ve sözler beklediğinize göre okur. Ancak, içeriği biraz daha yakından incelediğinizde görebileceğiniz birkaç kırmızı bayrak var..

    • “Paypal” - Doğru durum “PayPal” dır (büyük harf P). Her iki varyasyonun da mesajda kullanıldığını görebilirsiniz. Şirketler markaları konusunda çok kasıtlılar, bu yüzden böyle bir şeyin prova sürecinden geçeceği şüpheli.
    • “ActiveX'e izin ver” - Kaç tane yasal web tabanlı işletme gördüyseniz, Paypal'ın büyüklüğü yalnızca tek bir tarayıcıda çalışan, özellikle birden çok tarayıcıyı desteklerken kullanılan özel bir bileşen kullanıyor mu? Tabii, dışarıda bir yerlerde bir şirket yapıyor, ama bu kırmızı bayrak..
    • “Güvenli bir şekilde.” - Bu kelimenin, paragraf metninin geri kalanıyla sınırda nasıl hizalanmadığına dikkat edin. Pencereyi biraz daha uzatsam bile, düzgün bir şekilde dolamıyor veya yer açmıyor.
    • “Paypal!” - Ünlem işaretinden önceki boşluk garip görünüyor. Emin olduğum başka bir tuhaflık okunaklı bir e-postada olmazdı.
    • “PayPal - Hesap Güncelleme Formu.pdf.htm” - Paypal, özellikle sitelerinde bir sayfaya bağlantı kurabildiklerinde, neden “PDF” yi eklesinler? Ek olarak, neden bir HTML dosyasını PDF olarak gizlemeye çalışsınlar? Bu, hepsinin en büyük kırmızı bayrağı..

    Mesaj Başlığı

    Mesaj başlığına baktığınızda, birkaç daha fazla kırmızı bayrak görünür:

    • Gönderen adres [email protected].
    • Adres eksik. Bunu boş bırakmadım, sadece standart mesaj başlığının bir parçası değil. Genellikle adınızı taşıyan bir şirket size e-postayı kişiselleştirir.

    Eklenti

    Eki açtığımda, stil bilgilerinin eksik olması nedeniyle düzenin doğru olmadığını hemen görebilirsiniz. Yine, PayPal neden size kendi sitelerinde bir link verebilecekleri zaman bir HTML formuna e-posta göndersin??

    Not: bunun için Gmail’in yerleşik HTML eki görüntüleyicisini kullandık, ancak dolandırıcılardan ekleri AÇMAMANIZI öneririz. Asla. Hiç. Sık sık hesap bilgilerinizi çalmak için PC'nize truva atı yükleyecek istismarlar içerirler.

    Biraz daha aşağı kaydırdığınızda, bu formun yalnızca PayPal giriş bilgilerimizi değil, bankacılık ve kredi kartı bilgilerinizi de istediğini görebilirsiniz. Resimlerden bazıları bozuldu.

    Bu kimlik avı girişiminin tek bir dokunuşla her şeyin peşinden gittiği açık.

    Teknik Arıza

    Bunun bir kimlik avı girişimi olduğuna dair açık görüşlü olana dayanarak oldukça açık olmasına rağmen, şimdi e-postanın teknik yapısını kıracağız ve ne bulabileceğimizi göreceğiz..

    Ekten Bilgi

    İlk bakılması gereken şey, verileri sahte siteye ekleyen ek formunun HTML kaynağıdır..

    Kaynağı hızlı bir şekilde görüntülerken, tüm bağlantılar yasal olan “paypal.com” veya “paypalobjects.com” u işaret ettikleri için geçerli görünür.

    Şimdi Firefox'un sayfada topladığı bazı temel sayfa bilgilerine bakacağız..

    Gördüğünüz gibi, grafiklerin bazıları yasal PayPal alanları yerine “blessedtobe.com”, “goodhealthpharmacy.com” ve “pic-upload.de” alanlarından çekildi..

    E-posta Başlıklarından Bilgi

    Ardından ham e-posta mesajı başlıklarına bir göz atacağız. Gmail bunu, mesajdaki Orijinali Göster menü seçeneği ile kullanılabilir duruma getirir..

    Orijinal iletinin başlık bilgisine bakarak, bu iletinin Outlook Express 6 kullanılarak oluşturulduğunu görebilirsiniz. PayPal'ın bu iletilerin her birini eski bir e-posta istemcisi aracılığıyla manuel olarak gönderen bir çalışanı olduğundan şüpheliyim..

    Şimdi yönlendirme bilgilerine baktığımızda, hem gönderenin hem de aktarılan posta sunucusunun IP adresini görebiliriz..

    “Kullanıcı” IP adresi orijinal göndericidir. IP bilgilerine hızlıca göz atarak, gönderen IP’nin Almanya’da olduğunu görebiliriz..

    Ve geçiş yapan posta sunucusuna (mail.itak.at) baktığımızda, IP adresinin bunun Avusturya merkezli bir ISS olduğunu görebiliriz. PayPal'ın e-postalarını doğrudan Avusturya merkezli bir ISS üzerinden yönlendirdiğini düşünüyorum..

    Veriler Nereye Gidiyor??

    Bu nedenle, bunun bir kimlik avı e-postası olduğunu açıkça belirledik ve mesajın nereden geldiği hakkında bazı bilgiler topladık, ancak verilerinizin nereye gönderildiği hakkında?

    Bunu görmek için öncelikle HTM ekini masaüstümüze kaydedip bir metin editöründe açmalıyız. Gezinirken, şüpheli görünen bir Javascript bloğuna varmamız dışında her şey yolunda görünüyor..

    Javascript’in son bloğunun tam kaynağını parçalayarak şunu görüyoruz:


    // Telif Hakkı © 2005 Voormedia - WWW.VOORMEDIA.COM
    F, F, F, F, F, W, R, R, R, R, R, RI, RI

    Bir Javascript bloğuna gömülü görünüşte rastgele harfler ve rakamlardan oluşan büyük bir karışık dize gördüğünüzde, genellikle şüpheli bir şeydir. Koda bakıldığında, “x” değişkeni bu büyük dizeye ayarlanır ve ardından “y” değişkenine kod çözülür. “Y” değişkeninin son sonucu daha sonra belgeye HTML olarak yazılır..

    Büyük dize 0-9 sayılarından ve a-f harflerinden yapıldığından, büyük olasılıkla basit bir ASCII - Hex dönüşümü yoluyla kodlanır:

    3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

    Çevirir:

    Bunun, PayPal'a değil, sahte bir siteye gönderilen geçerli bir HTML form etiketine dönüşmesi tesadüf değildir..

    Ek olarak, formun HTML kaynağını görüntülediğinizde, bu form etiketinin görünür olmadığını göreceksiniz çünkü Javascript aracılığıyla dinamik olarak oluşturuluyor. Bu, ekin doğrudan bir metin düzenleyicide açılması yerine, ekin oluşturulmuş kaynağını (daha önce yaptığımız gibi) basitçe görüntülemişse, HTML’nin gerçekte ne yaptığını gizlemenin akıllıca bir yoludur..

    Saldırgan bir sitede hızlı bir whois yayınlayarak, bunun popüler bir web barındırma alanında barındırılan bir alan olduğunu görebiliyoruz, 1 ve 1.

    Etkilenen alan, okunabilir bir ad kullanıyor (“dfh3sjhskjhw.net” gibi bir şeyin aksine) ve etki alanı 4 yıl boyunca tescil edildi. Bu nedenle, bu etki alanının kaçırıldığına ve bu kimlik avı girişiminde piyon olarak kullanıldığına inanıyorum..

    Sinizm İyi Bir Savunmadır

    Çevrimiçi güvende kalmak söz konusu olduğunda, iyi bir sinizm almaktan asla zarar gelmez.

    Örnek e-postada daha fazla kırmızı bayrak bulunduğundan emin olmakla birlikte, yukarıda belirttiğimiz şey, birkaç dakikalık incelemeden sonra gördüğümüz göstergelerdir. Varsayım olarak, eğer e-postanın yüzey seviyesi% 100 meşru emsalini taklit ederse, teknik analiz hala gerçek doğasını ortaya koyardı. Bu nedenle, hem görebildiğiniz hem de göremediğiniz şeyleri inceleyebilmek için içe aktarılıyor.