Sicurezza online: rompere l'anatomia di una email di phishing

Sommario:

Sicurezza online: rompere l'anatomia di una email di phishing
Sicurezza online: rompere l'anatomia di una email di phishing

Video: Sicurezza online: rompere l'anatomia di una email di phishing

Video: Sicurezza online: rompere l'anatomia di una email di phishing
Video: 65 Impariamo ad usare il riquadro di spostamento di Windows 10 | Daniele Castelletti AssMaggiolina - YouTube 2024, Aprile
Anonim
Nel mondo di oggi, in cui tutte le informazioni sono online, il phishing è uno degli attacchi online più popolari e devastanti, perché puoi sempre pulire un virus, ma se i tuoi dati bancari vengono rubati, sei nei guai. Ecco una ripartizione di uno di questi attacchi che abbiamo ricevuto.
Nel mondo di oggi, in cui tutte le informazioni sono online, il phishing è uno degli attacchi online più popolari e devastanti, perché puoi sempre pulire un virus, ma se i tuoi dati bancari vengono rubati, sei nei guai. Ecco una ripartizione di uno di questi attacchi che abbiamo ricevuto.

Non pensare che siano solo i tuoi dettagli bancari che sono importanti: dopo tutto, se qualcuno ottiene il controllo sul tuo account, non solo conosce le informazioni contenute in quell'account, ma le probabilità sono che le stesse informazioni di accesso possano essere usate su vari altri conti. E se compromettono il tuo account di posta elettronica, possono ripristinare tutte le altre password.

Quindi, oltre a mantenere password forti e variabili, devi essere sempre alla ricerca di e-mail fasulle che si mascherano come la cosa reale. Mentre la maggior parte dei tentativi di phishing sono amatoriali, alcuni sono abbastanza convincenti, quindi è importante capire come riconoscerli a livello di superficie e come funzionano sotto il cofano.

Immagine di asirap

Esaminando ciò che è in Plain Sight

La nostra email di esempio, come la maggior parte dei tentativi di phishing, "notifica" l'utente dell'attività sul proprio conto PayPal che, in circostanze normali, sarebbe allarmante. Quindi l'invito all'azione è di verificare / ripristinare il tuo account inviando quasi tutte le informazioni personali che puoi immaginare. Di nuovo, questo è abbastanza formidabile.

Mentre ci sono certamente delle eccezioni, praticamente tutte le e-mail di phishing e truffa sono caricate con le bandiere rosse direttamente nel messaggio stesso. Anche se il testo è convincente, di solito puoi trovare molti errori disseminati nel corpo del messaggio che indicano che il messaggio non è legittimo.

Il corpo del messaggio

A prima vista, questa è una delle migliori email di phishing che ho visto. Non ci sono errori di ortografia o grammaticali e la verbosità si legge in base a ciò che potresti aspettarti. Tuttavia, ci sono alcune bandiere rosse che puoi vedere quando esamini il contenuto un po 'più da vicino.
A prima vista, questa è una delle migliori email di phishing che ho visto. Non ci sono errori di ortografia o grammaticali e la verbosità si legge in base a ciò che potresti aspettarti. Tuttavia, ci sono alcune bandiere rosse che puoi vedere quando esamini il contenuto un po 'più da vicino.
  • "Paypal" - Il caso corretto è "PayPal" (maiuscola P). Puoi vedere entrambe le varianti sono usate nel messaggio. Le aziende sono molto intenzionate con il loro marchio, quindi è dubbio che qualcosa del genere supererebbe il processo di correzione.
  • "Consenti ActiveX" - Quante volte hai visto un business basato sul web legittimo, le dimensioni di Paypal utilizzano un componente proprietario che funziona solo su un singolo browser, specialmente quando supportano più browser? Certo, da qualche parte là fuori qualche azienda lo fa, ma questa è una bandiera rossa.
  • "Sicuro". - Notare come questa parola non si allinea al margine con il resto del testo del paragrafo. Anche se allungo un po 'la finestra, non si avvolge o non si spazia correttamente.
  • "Paypal!" - Lo spazio prima del punto esclamativo sembra imbarazzante. Solo un'altra stranezza che sono sicuro non sarebbe in una email legittima.
  • "PayPal- Account Update Form.pdf.htm" - Perché Paypal dovrebbe allegare un "PDF" soprattutto quando potevano semplicemente collegarsi a una pagina sul loro sito? Inoltre, perché dovrebbero cercare di camuffare un file HTML come PDF? Questa è la più grande bandiera rossa di tutti loro.

L'intestazione del messaggio

Quando dai un'occhiata all'intestazione del messaggio, compaiono un paio di altre bandiere rosse:
Quando dai un'occhiata all'intestazione del messaggio, compaiono un paio di altre bandiere rosse:
  • L'indirizzo è [email protected].
  • Manca l'indirizzo. Non l'ho escluso, semplicemente non fa parte dell'intestazione del messaggio standard. In genere un'azienda che ha il tuo nome personalizzerà l'email per te.

L'allegato

Quando apro l'allegato, è possibile vedere immediatamente che il layout non è corretto in quanto manca le informazioni sullo stile. Ancora una volta, perché PayPal dovrebbe inviare via email un modulo HTML quando potrebbe semplicemente darti un link sul loro sito?

Nota: per questo abbiamo utilizzato il visualizzatore di allegati HTML incorporato di Gmail, ma ti consigliamo di NON APRIRE gli allegati da scammer. Mai. Mai. Molto spesso contengono exploit che installano trojan sul tuo PC per rubare le informazioni del tuo account.

Scorrendo un po 'di più puoi vedere che questo modulo chiede non solo i nostri dati di accesso PayPal, ma anche informazioni bancarie e della carta di credito. Alcune delle immagini sono rotte.
Scorrendo un po 'di più puoi vedere che questo modulo chiede non solo i nostri dati di accesso PayPal, ma anche informazioni bancarie e della carta di credito. Alcune delle immagini sono rotte.
È ovvio che questo tentativo di phishing sta perseguitando tutto con un colpo solo.
È ovvio che questo tentativo di phishing sta perseguitando tutto con un colpo solo.

La ripartizione tecnica

Mentre dovrebbe essere abbastanza chiaro in base a ciò che è in bella vista che si tratta di un tentativo di phishing, ora stiamo andando a rompere il trucco tecnico della mail e vedere cosa possiamo trovare.

Informazioni dall'Allegato

La prima cosa da dare un'occhiata è la fonte HTML del modulo allegato che è ciò che invia i dati al sito fasullo.

Quando visualizzi rapidamente la fonte, tutti i link appaiono validi in quanto puntano a "paypal.com" o "paypalobjects.com" che sono entrambi legittimi.

Ora daremo un'occhiata ad alcune informazioni di base sulla pagina che Firefox raccoglie sulla pagina.
Ora daremo un'occhiata ad alcune informazioni di base sulla pagina che Firefox raccoglie sulla pagina.
Come puoi vedere, alcuni elementi grafici vengono estratti dai domini "blessedtobe.com", "goodhealthpharmacy.com" e "pic-upload.de" invece dei domini legittimi di PayPal.
Come puoi vedere, alcuni elementi grafici vengono estratti dai domini "blessedtobe.com", "goodhealthpharmacy.com" e "pic-upload.de" invece dei domini legittimi di PayPal.
Image
Image

Informazioni dalle intestazioni dell'email

Successivamente daremo un'occhiata alle intestazioni dei messaggi di posta elettronica non elaborati. Gmail lo rende disponibile tramite l'opzione di menu Mostra originale sul messaggio.

Guardando le informazioni di intestazione per il messaggio originale, è possibile vedere questo messaggio è stato composto utilizzando Outlook Express 6. Dubito che PayPal abbia qualcuno sul personale che invia ciascuno di questi messaggi manualmente tramite un client di posta elettronica obsoleto.
Guardando le informazioni di intestazione per il messaggio originale, è possibile vedere questo messaggio è stato composto utilizzando Outlook Express 6. Dubito che PayPal abbia qualcuno sul personale che invia ciascuno di questi messaggi manualmente tramite un client di posta elettronica obsoleto.
Ora guardando le informazioni di routing, possiamo vedere l'indirizzo IP sia del mittente che del relay mail server.
Ora guardando le informazioni di routing, possiamo vedere l'indirizzo IP sia del mittente che del relay mail server.
L'indirizzo IP "Utente" è il mittente originale. Facendo una rapida ricerca sulle informazioni IP, possiamo vedere che l'IP di invio è in Germania.
L'indirizzo IP "Utente" è il mittente originale. Facendo una rapida ricerca sulle informazioni IP, possiamo vedere che l'IP di invio è in Germania.
E quando guardiamo il server di inoltro della posta (mail.itak.at), l'indirizzo IP possiamo vedere che questo è un ISP con sede in Austria. Dubito che PayPal instradi le loro e-mail direttamente attraverso un ISP con sede in Austria quando hanno una massiccia server farm che potrebbe facilmente gestire questa attività.
E quando guardiamo il server di inoltro della posta (mail.itak.at), l'indirizzo IP possiamo vedere che questo è un ISP con sede in Austria. Dubito che PayPal instradi le loro e-mail direttamente attraverso un ISP con sede in Austria quando hanno una massiccia server farm che potrebbe facilmente gestire questa attività.
Image
Image

Dove vanno i dati?

Quindi abbiamo chiaramente stabilito che si tratta di una e-mail di phishing e abbiamo raccolto alcune informazioni sulla provenienza del messaggio, ma su dove sono stati inviati i tuoi dati?

Per vedere questo, dobbiamo prima salvare l'allegato HTM sul desktop e aprirlo in un editor di testo. Scorrendolo, tutto sembra essere in ordine salvo quando arriviamo a un blocco Javascript che sembra sospetto.

Scoprendo la fonte completa dell'ultimo blocco di Javascript, vediamo:
Scoprendo la fonte completa dell'ultimo blocco di Javascript, vediamo:

Ogni volta che vedi una grande stringa confusa di lettere e numeri apparentemente casuali incorporati in un blocco Javascript, di solito è qualcosa di sospetto. Guardando il codice, la variabile "x" è impostata su questa stringa grande e quindi decodificata nella variabile "y". Il risultato finale della variabile "y" viene quindi scritto nel documento come HTML.

Poiché la stringa grande è composta da numeri 0-9 e le lettere a-f, è molto probabilmente codificata tramite una semplice conversione da ASCII a Hex:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

Traduce in:

Non è una coincidenza che questo decodifica in un tag form HTML valido che invia i risultati non a PayPal, ma a un sito canaglia.

Inoltre, quando visualizzi l'origine HTML del modulo, vedrai che questo tag non è visibile perché è generato dinamicamente tramite Javascript. Questo è un modo intelligente per nascondere ciò che l'HTML sta effettivamente facendo se qualcuno dovesse semplicemente visualizzare la sorgente generata dell'allegato (come abbiamo fatto in precedenza) anziché aprire l'allegato direttamente in un editor di testo.

Eseguendo un rapido whois sul sito incriminato, possiamo vedere che questo è un dominio ospitato in un popolare web host, 1 e 1.
Eseguendo un rapido whois sul sito incriminato, possiamo vedere che questo è un dominio ospitato in un popolare web host, 1 e 1.
Ciò che emerge è che il dominio utilizza un nome leggibile (al contrario di qualcosa come "dfh3sjhskjhw.net") e il dominio è stato registrato per 4 anni. Per questo motivo, credo che questo dominio sia stato dirottato e utilizzato come pedina in questo tentativo di phishing.
Ciò che emerge è che il dominio utilizza un nome leggibile (al contrario di qualcosa come "dfh3sjhskjhw.net") e il dominio è stato registrato per 4 anni. Per questo motivo, credo che questo dominio sia stato dirottato e utilizzato come pedina in questo tentativo di phishing.

Il cinismo è una buona difesa

Quando si tratta di stare al sicuro online, non fa mai male avere un po 'di cinismo.

Mentre sono sicuro che nell'e-mail di esempio ci sono più bandiere rosse, ciò che abbiamo sottolineato sopra sono indicatori che abbiamo visto dopo pochi minuti di esame. Ipoteticamente, se il livello di superficie del messaggio di posta elettronica imitasse la sua controparte legittima al 100%, l'analisi tecnica rivelerebbe ancora la sua vera natura. Questo è il motivo per cui è importante poter esaminare sia ciò che puoi e che non puoi vedere.

Consigliato:

Come rompere con Facebook in modo permanente (o solo avere una separazione di prova)

Come rompere con Facebook in modo permanente (o solo avere una separazione di prova)

Facebook. Le persone lo amano, lo accettano a malincuore, lo odiano, o hanno cose migliori da fare, ma a volte una cattiva relazione è solo questo, e devi rompere. Ecco come farlo con delicatezza, o semplicemente finirlo.

Recensioni di HTG The Wink Hub: offri alla tua Smarthome un cervello senza rompere la banca

Recensioni di HTG The Wink Hub: offri alla tua Smarthome un cervello senza rompere la banca

Avere una casa piena di dispositivi intelligenti è fantastico, ma gestirli tutti in modo semplice e unificato può essere un incubo: entra nell'hub della domotica. Continua a leggere mentre testiamo sul campo il Wink Hub e ti mostriamo come far funzionare i tuoi dispositivi insieme.

Sicurezza informatica, privacy dei dati, sicurezza online di Microsoft

Sicurezza informatica, privacy dei dati, sicurezza online di Microsoft

Sotto Digital Citizenship in Action, Microsoft ha rilasciato documenti, opuscoli informativi per studenti, genitori, educatori, responsabili delle politiche e ONG.

Anatomia di un fanboy e The Cult Of Mac

Anatomia di un fanboy e The Cult Of Mac

Nessun prodotto sul pianeta gode della devozione di un computer Macintosh. Notoriamente possessivi e dedicati alle loro macchine, molti fan del Mac mangiano, dormono e respirano Macintosh.

Che cos'è il phishing e come identificare gli attacchi di phishing

Che cos'è il phishing e come identificare gli attacchi di phishing

Questo post aumenterà la consapevolezza del Phishing in quanto ti dice come evitare gli attacchi di phishing e stai al sicuro online. Vengono anche discussi i tipi e le caratteristiche degli attacchi di phishing.