Online-turvalisus: pettuste saatmise anatoomia katkemine

Video: Online-turvalisus: pettuste saatmise anatoomia katkemine

Video: PXE Explained: PreBoot Execution Environment, how to deploy an operating system. - YouTube 2024, November

2024 Autor: Geoffrey Carr | [email protected]. Viimati modifitseeritud: 2023-12-17 10:56

Tänapäeva maailmas, kus igaühe teave on võrgus, on andmepüük üks populaarsemaid ja hävitavaid veebipõhiseid rünnakuid, sest saate alati viirust puhastada, kuid kui teie pangandmeandmed on varastatud, siis on teil probleeme. Siin on üks selline rünnak, mille me saime.

Ärge arvake, et olulised on ainult teie pangaveod: lõppude lõpuks, kui keegi saab teie konto sisselogimise üle kontrolli, siis ei tea nad mitte ainult selles kontol olevat teavet, vaid tõenäosus, et sama sisselogimisteavet võidakse kasutada mitmesugustes muudes kontod. Ja kui nad kompromissid teie e-posti kontole, saavad nad kõik teie muud paroolid lähtestada.

Nii et lisaks tugevate ja erinevate paroolide hoidmisele peate alati olema tõeliste asjadega maskeerivate võltsete e-kirjade otsimine. Kuigi enamus andmepüügikatsetest on amatöörlikud, on mõned neist üsna veenvad, mistõttu on oluline mõista, kuidas neid pinnataseme tuvastamisel ja kuidas nad töötavad kapoti all.

Pilt asirapi järgi

Vaadake, mis on tavalises vaates

Meie e-posti näide, nagu enamik andmepüügi katseid, teavitab teid teie PayPali konto kontolt, mis tavatingimustes oleks murettekitav. Seega on üleskutse toimingule kontrollida / taastada teie konto, esitades peaaegu kõik isiklikud andmed, mida võite mõelda. Jällegi on see päris valem.

Kuigi kindlasti on erandeid, on peaaegu iga andmepüügi ja kelmuse e-post laaditud punasilmsalt otse enda sõnumisse. Isegi kui tekst on veenev, võite tavaliselt leida kogu sõnumi kehas paljusid vigu, mis näitavad, et sõnum pole seaduslik.

Teatekogu

Esmapilgul on see üks paremini õngevõtmise e-kirju, mida olen näinud. Puuduvad õigekirja- ja grammatilisi vigu ning sõnaline sõnastus vastavalt sellele, mida võite oodata. Siiski on mõned punased lipud, mida saate näha, kui uurite sisu natuke täpsemalt.

"Paypal" - õige asi on "PayPal" (kapital P). Näete mõlemas variandis sõnumit. Ettevõtted on oma kaubamärgiga väga tahtlikud, mistõttu on kaheldav, et selline tõesusprotsess läbiks.
"Lubage ActiveX-i" - mitu korda olete näinud legitist veebipõhist äri, kas PayPali suurus kasutab ainuomast komponenti, mis töötab ainult ühes brauseris, eriti kui need toetavad mitut brauserit? Muidugi, kuskil seal on mõni ettevõte seda, aga see on punane lipp.
"Turvaliselt." - Märgistage, kuidas see sõna paragrahvi tekstist ülejäänud lõigus ei ole. Isegi kui ma venitan aknat natuke rohkem, ei lase see õigesti ega ruumi.
"Paypal!" - Hüüdmärgi ees olev ruum näib ebamugavaks. Veel üks uhkus, mis ma olen kindel, ei oleks e-posti teel.
"PayPal-konto uuendatud vorm. Pdf.htm" - miks peaks Paypal lisama "PDF", eriti kui nad saaksid lihtsalt oma saidi lehele linkida? Lisaks sellele, miks nad üritavad varjata HTML-faili PDF-is? See on kõigi nende suurim punane lipp.

Sõnumi päis

Aadress on [email protected].
Aadress on puudu. Ma ei jätnud selle välja, see lihtsalt ei kuulu standardsete sõnumi päisesse. Tavaliselt tähistab firma, kelle nimi on teie nimi, teile isikupärastatud e-kirja.

Manus

Kui ma avan manuse, võite kohe näha, et paigutus pole õige, sest puudub teave stiilis kohta. Jällegi, miks peaks PayPal e-posti HTML vormi, kui nad saaksid lihtsalt anda oma saidil lingi?

Märge: Selleks kasutasime Gmaili sisseehitatud HTML-i manuste vaaturit, kuid soovitame, et te ei avata petreid puudutavaid manuseid. Mitte kunagi. Kunagi Nad sisaldavad tihti sagedamini kasutajaid, kes panevad oma konto andmed varastada oma arvutiga.

Veel veidi keritades näete, et see vorm ei küsita mitte ainult meie PayPali sisselogimisandmeid, vaid ka panga- ja krediitkaarditeavet. Mõned pildid on katki.

On ilmselge, et see phishing katse läheb pärast kõike ühe lüües.

Tehniline jaotus

Kuigi see peaks olema ilmselgelt selge, et on näpunäide, et tegemist on andmepüügikoormusega, liigume nüüd e-kirja tehnilise meigie ja loeme, mida me leiame.

Teave lisast

Esimene asi, mida vaadata on, on manuse vormi HTML-i allikas, mis esitab andmed võltskohta.

Allika kiire vaatamise korral on kõik lingid kehtivad, kuna need viitavad kas paypal.com-le või paypalobjects.com-le, mis on mõlemad õigustatud.

Nüüd vaatame lehe põhiteavet, mida Firefox lehel leiab.

Nagu näete, on mõned graafika tõmmatud dünaamikadest "blessedtobe.com", "goodhealthpharmacy.com" ja "pic-upload.de", mitte legitiivsed PayPal domeenid.

Teave e-posti pealkirjadest

Järgnevalt vaatame tooresid e-kirjad päiseid. Gmail muudab selle kättesaadavaks sõnumi menüüvaliku Näita peamist menüüd.

Vaadates algse kirja pealkirja teavet, näete seda sõnumit koostatud Outlook Expressi 6 abil. Kahtlen, kas PayPalil on töötajad, kes saadavad kõik need sõnumid käsitsi vananenud e-posti kliendi kaudu.

Nüüd vaadates marsruutimisteavet, näeme nii saatja kui ka edastatava posti serveri IP-aadressi.

Kasutaja IP-aadress on algne saatja. IP-teabe kiire ülevaate saamiseks näeme saatvaid IP-aadresse Saksamaal.

Ja kui vaatame ülekandeposti serveri (mail.itak.at) IP-aadressi, näeme, et see on Interneti-teenuse pakkuja, mis asub Austrias. Ma kahtlen, et PayPal suunab oma e-kirjad otse läbi Austria-põhise Interneti-teenusepakkuja, kui neil on suur serverifarm, mis võiks seda ülesannet kergesti käsitseda.

Kuhu andmed lähevad?

Seega oleme selgelt määratlenud, et see on andmepüügi e-kiri ja kogunud teavet selle kohta, kust sõnum pärineb, aga kuidas teie andmed saadetakse?

Et seda näha, peame esmalt salvestama HTMi manuse oma töölauale ja avama tekstiredaktori. Selle sirvimine näib olevat korras, välja arvatud juhul, kui jõuame kahtlaselt otsiva Javascripti blokeerimiseni.

Javascripti viimase blokeeringu täieliku allika katkestamiseks näeme järgmist:

Iga kord, kui näete suurt jumbled stringide näiliselt juhuslike tähtede ja numbritega, mis on Javascripti blokeeritud, on see tavaliselt midagi kahtlast. Koodi vaatamisel seatakse muutuja "x" sellele suurele stringile ja seejärel dekodeeritakse muutuja "y". Muutuja "y" lõpptulemus kirjutatakse seejärel dokumendina HTML-i kujul.

Kuna suur string koosneb numbritest 0-9 ja tähed a-f, on see kõige tõenäolisem kodeeritud lihtsa ASCII-hex-konverteerimise kaudu:


3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

Tõlgendab:

Pole juhus, et see dekodeerub kehtivasse HTML-vormingusildisse, mis saadab tulemusi mitte PayPalile, vaid petturitesse saidile.

Lisaks, kui näete vormi HTML-i allikat, näete, et selle vormi silt ei ole nähtav, kuna see genereeritakse dünaamiliselt Javascripti kaudu. See on nutikas viis varjata seda, mida HTML tegelikult teeb, kui keegi peaks lihtsalt nägema manuse genereeritud allikat (nagu varemgi), selle asemel, et avada manus otse tekstiredaktoris.

Nägime, et kiire kasutaja on rikkuva saidi jaoks populaarne veebimajutus 1and1 hostitud domeenis.

Mis paistab silma paistab, kas domeen kasutab loetavat nime (erinevalt midagi "dfh3sjhskjhw.net") ja domeen on registreeritud juba 4 aastat. Sellepärast arvan, et see domeen oli kaaperdatud ja seda andmepüügikatset kasutati petturmas.

Kynitsism on hea kaitse

Kui tegemist on ohutu internetis viibimisega, pole see kunagi valus, kui palju küünilisust.

Ehkki ma olen kindel, et näidislehel on rohkem punaseid lippe, on need, mida me eespool on maininud, näitajaid, mida nägime vaid mõne minuti pärast. Hüpoteetiliselt, kui e-posti pindala jäljendab oma seaduslikku vastast 100%, näitab tehniline analüüs endiselt tõelist olemust. Sellepärast impordib see, et saaks uurida nii seda, mida saate ja mida ei näe.

Soovitan:

Laadige alla How-To Geeki Photoshop CS5 pettuste leht

Kui teil on otsetee või trikk, mis aitavad säästa aega, on meie ülesanne edastada seda abi teie juurde. Meie uued cheat-lehed on täpselt selline kogum, mis on teie jaoks allalaadimiseks valmis ja suurepärased printimiseks. Siin on kõige esimene Photoshopi jaoks.