Wszystko co powinieneś wiedzieć, żeby wykryć i przechytrzyć oszustów przysyłających maile phishingowe.
1.Panie i panowie uruchomcie przeglądarki internetowe.
Wykrycie, rozpoznanie a nawet zdemaskowanie oszustów stojących za phishingowym scamem nie jest trudne w dzisiejszych czasach. Wystarczy umiejętność rozpoznania sztuczek charakterystycznych dla phishingu oraz porządna wyszukiwarka internetowa. Jeżeli połączymy obydwie te rzeczy, możemy nie tylko wykryć scam phishingowy, ale również odnaleźć jego twórcę.
2.Na czym polega phishing?
W dzisiejszym świecie maile phishingowe to zwykła codzienność. Każdy z nas może takiego maila znaleźć w swojej skrzynce. Zazwyczaj taki mail pochodzi rzekomo od firmy lub instytucji, w której mamy założone konto. Następnie jesteśmy informowani o niespodziewanych problemach technicznych, które jednak możemy z łatwością usunąć sami po kliknięciu w odpowiedniego linka albo po zalogowaniu się.
A jeśli postąpimy zgodnie z instrukcjami, cyberprzestępcy już mają nasze dane poufne – loginy, hasła itp. Za jednym kliknięciem otworzyliśmy prawdziwą puszkę Pandory.
Komunikat na stronie phishingowej, który ma na celu nielegalne pozyskanie danych poufnych
3.Jak rozpoznać maile phishingowe?
Pierwsza ważna wskazówka: email phishingowy bardzo często zawiera logo firmy w bardzo kiepskiej jakości, a czasami jest ono nawet zniekształcone. Często można również dostrzec tagi HTML-a i literówki. Oczywiście doświadczeni internauci od razu wyczują, że to wiadomość wysłana przez oszustów. Niestety łatwym celem są w dalszym ciągu naiwni i początkujący internauci.
Różnice pomiędzy stroną phishingową (po lewej) a stroną oryginalną (po prawej).
Oprócz rażących błędów i niedoskonałości na całej stronie, warto spojrzeć również na pasek adresu URL. Oprogramowanie antywirusowe, takie jak Avast ostrzega użytkowników, jeśli strona nie ma bezpiecznego połączenia. Zazwyczaj w samym pasku adresu URL widać jednak, że nadawcą wiadomości nie jest wcale firma, za którą oszuści się podają.
Przykłady dziwnych nazw domeny, które mają wyglądać, jakby były stroną serwisu PayPal
Kolejna rzecz, na którą warto zwrócić uwagę to Base64, rodzaj kodowania, umożliwiający oszustom ukrycie domeny internetowej. Użytkownik będzie zachęcany do kliknięcia w link ukryty w e-mailu, dokumencie lub na innej stronie internetowej. Po dokładnym przyjrzeniu się załadowanej stronie, będzie widoczny link phishingowy i kod HTML (w meta danych). Ta technika zaciemniania kodu jest chętnie wykorzystywana przez oszustów, ponieważ nie jest tak oczywista dla każdego użytkownika internetu. Jeśli w pasku adresu dostrzeżesz Base64, masz pewność, że link ten jest podejrzany.
Base64 w pasku adresu
4.Analiza przypadku: jak złapać oszusta?
W tym konkretnym przypadku fałszywa strona internetowa wyglądała tak:
Fałszywe okienko logowania
W pasku adresu widać kodowanie Base64. Dla niewprawnego oka całość wygląda jak zwykły adres URL. Jeśli jednak zagłębimy się w analizowany kod zobaczymy, że spreparowana formatka wywołuje coś takiego:
Oryginalny kod
Jest to plik PHP zlokalizowany w “papyrue.com.ng/cgi/default/mr.php”, który dostarcza dane logowania ofiary bezpośrednio do cyberprzestępców. Eksperci Avasta oraz specjaliści zajmujący się bezpieczeństwem internetowym przyznają, że dzieje się to każdego dnia.Kontynuując nasze polowanie, uruchomiliśmy wyszukiwarkę internetową, by znaleźć właściciela “papyrue.com.ng.”
Zdekodowany plik HTML strony oszustów
Po przejrzeniu bazy Whois, dowiadujemy się, że domena internetowa została zarejestrowana 14 marca 2016 przez użytkownika z Nigerii przy użyciu jego adresu e-mail.
Postanowiliśmy zbadać sprawę dalej.
Strona internetowa papyrue.com.ng
Nie zdziwiło nas, że strona internetowa papyrue była kiepsko zaprojektowana i niekompletna. Po zbadaniu serwera użytego przez oszustów odkryliśmy kolejne phishingowe pliki HTML.
Kolejna strona oszustów z papyrue, zakodowana w tym samym stylu co pozostałe
W katalogu znaleźliśmy kolejne fałszywe wersje Excel Online, Yahoo i Adobe, wszystkie zawierały niebezpieczne pliki PHP, które tylko czekały aż uruchomi je niczego niepodejrzewający użytkownik.
W kodzie widoczne były komentarze programisty-oszusta, który podpisywał się jako “Alibobo.” Ten pseudonim często się przewijał w przypadku ataków phishingowych.
Komentarz developera strony oszustów
5.Kim jesteś Alibobo?
W jednym z komentarzy pojawił się nawet link do jego strony internetowej oraz adres e-mail. Jeden rzut oka do bazy Whois i już wiemy, że Alibobo to mężczyzna z Nigerii. Raport Whois umożliwia nam również wgląd do używanych przez niego portali społecznościowych.
Jego adres e-mail był wykorzystany do zarejestrowania ponad 19 domen internetowych (w tym również nieczynnych). Nasze poszukiwania oparły się na tym jedynym znanym nam adresie e-mail, ale z pewnością posiada ich co najmniej kilka. Z bazy Whois uzyskaliśmy również jego numer telefonu oraz inne dane.
Raport Whois dotyczący Alibobo
Szperając dalej w wyszukiwarce Google’a znaleźliśmy jeszcze więcej informacji na jego temat: zdjęcia w mediach społecznościowych, adres domowy i firmowy, a nawet profil na portalu „freelancer.in”, gdzie ogłaszał swoje usługi.
Profil Alibobo na freelancer.in
Tworzenie złośliwego oprogramowania to branża przynosząca zyski, nic więc dziwnego, że przyciąga chętnych – tak jak i naszego Alibobo. Podobnych do niego są tysiące, o ile nie miliony. Obserwując jego profile społecznościowe wydaje się, że z biegiem czasu stał się bardziej ostrożny. Ale to branża, która nie znosi próżni, więc na miejsce jednego zdemaskowanego oszusta, zaraz wskoczy kolejny.
Wystarczy trochę podstawowej wiedzy i nie musisz się obawiać phishingu. Zapamiętaj te kilka złotych zasad bezpieczeństwa internetowego i możesz spać spokojnie:
- Bądź ostrożny i przyglądaj się uważnie stronom i dokumentom, z których korzystasz.
- Nigdy, ale to nigdy, nie klikaj w linka umieszczonego w mailu (np. z dostępem do banku). Zamiast tego otwórz nową zakładkę i zaloguj się na swoje konto, tak jak zwykle.
- Nie daj się nabrać i udowodnij oszustom, że pomimo ich najlepszych wysiłków, jesteś odporny na ich działania.
Artykuł pochodzi ze strony https://trybawaryjny.pl/phishing/