Online beveiliging: de anatomie van een phishing-e-mail doorbreken

online-beveiliging-doorbreken-de-anatomie-van-een-phishing-e-mail foto 1
In de wereld van vandaag waar de informatie van iedereen online is, is phishing een van de meest populaire en verwoestende online aanvallen, omdat je een virus altijd kunt opschonen, maar als je bankgegevens worden gestolen, heb je problemen. Hier is een overzicht van een dergelijke aanval die we hebben ontvangen.

Denk niet dat het alleen uw bankgegevens zijn die belangrijk zijn: als iemand de controle over uw accountaanmelding krijgt, kennen ze niet alleen de informatie op die rekening, maar de kans is groot dat dezelfde inloggegevens op verschillende andere rekeningen. En als ze uw e-mailaccount compromitteren, kunnen ze al uw andere wachtwoorden opnieuw instellen.

Dus naast het behouden van sterke en variërende wachtwoorden, moet je altijd op je hoede zijn voor valse e-mails die zich voordoen als echt. Hoewel de meeste phishing-pogingen amateuristisch zijn, zijn sommige behoorlijk overtuigend, dus het is belangrijk om te begrijpen hoe je ze aan de oppervlakte kunt herkennen en hoe ze onder de motorkap werken.



Afbeelding door asirap

Onderzoeken wat er in het zicht is

Onze voorbeeld-e-mail, zoals de meeste phishing-pogingen, brengt u op de hoogte van activiteit op uw PayPal-rekening, wat onder normale omstandigheden alarmerend zou zijn. De oproep tot actie is dus om uw account te verifiëren/herstellen door zowat alle persoonlijke informatie die u maar kunt bedenken in te dienen. Nogmaals, dit is nogal formeel.

Hoewel er zeker uitzonderingen zijn, wordt vrijwel elke phishing- en scam-e-mail rechtstreeks in het bericht zelf met rode vlaggen geladen. Zelfs als de tekst overtuigend is, kun je meestal veel fouten in de berichttekst aantreffen die aangeven dat het bericht niet legitiem is.

De berichttekst

online-beveiliging-doorbreken-de-anatomie-van-een-phishing-e-mail foto 2

Op het eerste gezicht is dit een van de betere phishing-e-mails die ik heb gezien. Er zijn geen spel- of grammaticale fouten en de woordenstroom leest volgens wat je zou verwachten. Er zijn echter een paar rode vlaggen die u kunt zien als u de inhoud wat nauwkeuriger bekijkt.

  • Paypal – Het juiste geval is PayPal (hoofdletter P). U kunt zien dat beide varianten in het bericht worden gebruikt. Bedrijven zijn heel bewust bezig met hun branding, dus het is twijfelachtig dat zoiets door het proofingproces zou komen.
  • Sta ActiveX toe - Hoe vaak heb je een legitiem webgebaseerd bedrijf ter grootte van Paypal een eigen component zien gebruiken die alleen op één enkele browser werkt, vooral wanneer ze meerdere browsers ondersteunen? Natuurlijk, ergens daarbuiten doet een bedrijf het, maar dit is een rode vlag.
  • veilig. – Merk op hoe dit woord in de marge niet op één lijn ligt met de rest van de alineatekst. Zelfs als ik het raam wat meer uitrek, wikkelt het niet goed of past het niet goed uit.
  • Paypal! – De spatie voor het uitroepteken ziet er onhandig uit. Gewoon een andere gril waarvan ik zeker weet dat die niet in een legitieme e-mail zou staan.
  • PayPal- Accountupdate Form.pdf.htm - Waarom zou Paypal een PDF bijvoegen, vooral als ze gewoon naar een pagina op hun site konden linken? Bovendien, waarom zouden ze proberen een HTML-bestand te vermommen als een PDF? Dit is de grootste rode vlag van allemaal.

De berichtkop

online-beveiliging-doorbreken-de-anatomie-van-een-phishing-e-mail foto 3

Als je naar de berichtkop kijkt, verschijnen er nog een paar rode vlaggen:

  • Het van-adres is test@test.com.
  • Het aan-adres ontbreekt. Ik heb dit niet weggelaten, het maakt gewoon geen deel uit van de standaard berichtkop. Meestal zal een bedrijf dat uw naam heeft, de e-mail voor u personaliseren.

De bijlage

Als ik de bijlage open, zie je meteen dat de lay-out niet correct is omdat er stijlinformatie ontbreekt. Nogmaals, waarom zou PayPal een HTML-formulier e-mailen als ze je gewoon een link op hun site kunnen geven?

Opmerking: we hebben hiervoor de ingebouwde HTML-bijlageviewer van Gmail gebruikt, maar we raden u aan GEEN bijlagen van oplichters te OPENEN. Nooit. Ooit. Ze bevatten vaak exploits die trojans op uw pc installeren om uw accountgegevens te stelen.

online-beveiliging-doorbreken-de-anatomie-van-een-phishing-e-mail foto 4

Als u wat verder naar beneden scrolt, ziet u dat dit formulier niet alleen om onze PayPal-inloggegevens vraagt, maar ook om bank- en creditcardgegevens. Sommige afbeeldingen zijn gebroken.

online-beveiliging-doorbreken-de-anatomie-van-een-phishing-e-mail foto 5

Het is duidelijk dat deze phishing-poging alles in één klap nastreeft.

De technische storing

Hoewel het vrij duidelijk zou moeten zijn op basis van wat duidelijk is dat dit een phishing-poging is, gaan we nu de technische samenstelling van de e-mail doorbreken en kijken wat we kunnen vinden.

Informatie uit de bijlage

Het eerste waar u naar moet kijken, is de HTML-bron van het bijlageformulier, dat de gegevens naar de nepsite verzendt.

Als je snel de bron bekijkt, lijken alle links geldig omdat ze verwijzen naar paypal.com of paypalobjects.com, die beide legitiem zijn.

online-beveiliging-doorbreken-de-anatomie-van-een-phishing-e-mail foto 6

Nu gaan we enkele basispagina-informatie bekijken die Firefox op de pagina verzamelt.

online-beveiliging-doorbreken-de-anatomie-van-een-phishing-e-mail foto 7

Zoals je kunt zien, zijn sommige afbeeldingen afkomstig van de domeinen gezegendtobe.com, goodhealthpharmacy.com en pic-upload.de in plaats van de legitieme PayPal-domeinen.

online-beveiliging-doorbreken-de-anatomie-van-een-phishing-e-mail foto 8

Informatie uit de e-mailheaders

Vervolgens zullen we de onbewerkte koppen van e-mailberichten bekijken. Gmail maakt dit beschikbaar via de menuoptie Origineel weergeven op het bericht.

online-beveiliging-doorbreken-de-anatomie-van-een-phishing-e-mail foto 9

Als je naar de koptekst van het oorspronkelijke bericht kijkt, kun je zien dat dit bericht is opgesteld met Outlook Express 6. Ik betwijfel of PayPal iemand in dienst heeft die elk van deze berichten handmatig verstuurt via een verouderde e-mailclient.

online-beveiliging-doorbreken-de-anatomie-van-een-phishing-e-mail foto 10

Als we nu naar de routeringsinformatie kijken, kunnen we het IP-adres van zowel de afzender als de doorsturende mailserver zien.

online-beveiliging-doorbreken-de-anatomie-van-een-phishing-e-mail foto 11

Het IP-adres van de gebruiker is de oorspronkelijke afzender. Als we snel de IP-informatie opzoeken, kunnen we zien dat het verzendende IP-adres zich in Duitsland bevindt.

online-beveiliging-doorbreken-de-anatomie-van-een-phishing-e-mail foto 12

En als we kijken naar het IP-adres van de doorsturende mailserver (mail.itak.at), kunnen we zien dat dit een ISP is die in Oostenrijk is gevestigd. Ik betwijfel of PayPal hun e-mails rechtstreeks via een in Oostenrijk gevestigde ISP stuurt, terwijl ze een enorme serverfarm hebben die deze taak gemakkelijk aankan.

online-beveiliging-doorbreken-de-anatomie-van-een-phishing-e-mail foto 13

Waar gaan de gegevens naartoe?

We hebben dus duidelijk vastgesteld dat dit een phishing-e-mail is en hebben wat informatie verzameld over waar het bericht vandaan komt, maar hoe zit het met waar uw gegevens naartoe worden gestuurd?

Om dit te zien, moeten we eerst de HTM-bijlage op onze desktop opslaan en openen in een teksteditor. Als we er doorheen scrollen, lijkt alles in orde te zijn, behalve wanneer we bij een verdacht uitziend Javascript-blok komen.

online-beveiliging-doorbreken-de-anatomie-van-een-phishing-e-mail foto 14

Als we de volledige bron van het laatste Javascript-blok uitbreken, zien we:

Elke keer dat je een grote warboel van schijnbaar willekeurige letters en cijfers ziet ingesloten in een Javascript-blok, is het meestal iets verdachts. Als we naar de code kijken, wordt de variabele x ingesteld op deze grote tekenreeks en vervolgens gedecodeerd in de variabele y. Het uiteindelijke resultaat van variabele y wordt dan als HTML naar het document geschreven.

Aangezien de grote reeks is gemaakt van de cijfers 0-9 en de letters a-f, is deze hoogstwaarschijnlijk gecodeerd via een eenvoudige ASCII-naar-Hex-conversie:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f77777772e646578706f737572652e67474326722f68

Vertaald naar:

Het is geen toeval dat dit wordt gedecodeerd in een geldige HTML-formuliertag die de resultaten niet naar PayPal stuurt, maar naar een rouge-site.

Bovendien, wanneer u de HTML-bron van het formulier bekijkt, ziet u dat deze formuliertag niet zichtbaar is omdat deze dynamisch wordt gegenereerd via Javascript. Dit is een slimme manier om te verbergen wat de HTML eigenlijk doet als iemand gewoon de gegenereerde bron van de bijlage zou bekijken (zoals we eerder deden) in plaats van de bijlage rechtstreeks in een teksteditor te openen.

online-beveiliging-doorbreken-de-anatomie-van-een-phishing-e-mail foto 15

Als we een snelle whois uitvoeren op de beledigende site, kunnen we zien dat dit een domein is dat wordt gehost bij een populaire webhost, 1and1.

online-beveiliging-doorbreken-de-anatomie-van-een-phishing-e-mail foto 16

Wat opvalt is dat het domein een leesbare naam gebruikt (in tegenstelling tot iets als dfh3sjhskjhw.net) en dat het domein al 4 jaar geregistreerd is. Daarom denk ik dat dit domein is gekaapt en als pion is gebruikt bij deze phishing-poging.

Cynisme is een goede verdediging

Als het gaat om veilig online blijven, kan het nooit kwaad om een ​​beetje cynisme te hebben.

Hoewel ik zeker weet dat er meer rode vlaggen in de voorbeeld-e-mail staan, zijn wat we hierboven hebben aangegeven indicatoren die we na slechts een paar minuten onderzoek zagen. Hypothetisch, als het oppervlakteniveau van de e-mail zijn legitieme tegenhanger 100% zou nabootsen, zou de technische analyse nog steeds zijn ware aard onthullen. Daarom is het belangrijk om te kunnen onderzoeken wat je wel en niet kunt zien.

Meer verhalen

De 25 GB van SkyDrive gebruiken als een toegewezen schijf voor gemakkelijke toegang

SkyDrive is een online opslagsysteem dat is opgenomen in Windows Live en dat u 25 GB aan ruimte geeft die u kunt synchroniseren met uw bureaublad. Hier leest u hoe u het als een toegewezen station op uw Windows 7-computer aansluit.

Week in Geek: Firefox 4 verslaat Internet Explorer 9

Deze week hebben we geleerd hoe je met Clonezilla een back-up kunt maken van een dode of stervende systeemschijf, de vorige versies van Windows 7 kunt gebruiken om terug in de tijd te gaan en bestanden op te slaan, 20 GB Amazon Cloud Storage te krijgen voor 89 cent, door moeilijke niveaus te komen in Angry Birds met video cheats voor elk niveau, kijk wat je

Bureaubladplezier: Ubuntu Wallpaper Collection Series 2

Het weergeven van Ubuntu-achtergronden met een speciaal merk of thema op uw bureaublad is een geweldige manier om uw steun voor dit geweldige besturingssysteem te tonen. Vandaag hebben we een nieuwe set achtergronden waarmee je dat perfecte vleugje Ubuntu-themaplezier aan je bureaublad kunt toevoegen.

Stomme geektrucs: hernoem willekeurig elk bestand in een map

Wil je een beetje plezier hebben met je bestanden of een slimme grap met iemand uithalen? Met een eenvoudig batchscript kunt u elk bestand in een map onmiddellijk willekeurig hernoemen.

Breng de vogels van Rio: de film naar uw bureaublad [Windows 7-thema]

Blu the Macaw beleeft non-stop avonturen in Zuid-Amerika terwijl hij een potentiële liefdespartner ontmoet, zijn vliegangst probeert te overwinnen, nieuwe vrienden maakt en de stropers probeert voor te blijven die hem een ​​.. .

Wat u zei: hebben registeropruimers uw computer geholpen ... ooit?

Eerder deze week vroegen we u om uw ervaringen met Windows-registeropschoningsprogramma's te delen. Je reageerde met honderden antwoorden en nu zijn we terug met een overzicht van de belangrijkste ideeën en lezerservaringen.

Bouw een set plasmaluidsprekers voor door elektriciteit opgewekt geluid [Science]

Luidsprekers met conussen en drivers? Dat is niet gekke wetenschapper genoeg voor jou. Het enige soort deuntjes waarnaar u wilt luisteren, zijn die welke worden gegenereerd door elektrische bogen onder hoge spanning. Dit weekend een set plasmaspeakers bouwen en...

TV-showcasts opnieuw ontworpen als D&D-uitlijningsgrafieken

Zelfs als je nooit een Dungeons & Dragons-fan bent geweest, maar vooral als je dat wel was, zul je deze slimme uitlijningsgrafieken waarderen die populaire tv-showpersonages in kaart brengen over het spectrum van Lawful Good tot Chaotic Evil.

Vrijdagpret: Notebook Wars 2

Vrijdag is eindelijk weer aangebroken, dus waarom geen pauze nemen en plezier maken met iets anders? In de game van deze week ga je de strijd aan om je notebook terug te winnen van de vloot van vijandelijke vliegtuigen en troepen te ondersteunen die het zijn binnengevallen.

Snel meerdere bestanden bewerken in Audacity

Heb je een heleboel bestanden die op dezelfde manier moeten worden bewerkt? U kunt het proces automatiseren om tijd en moeite te besparen met behulp van Audacity's Chain-functie en tonnen bestanden tegelijkertijd wijzigen.