Sécurité en ligne: briser l'anatomie d'un courrier électronique de phishing

Table des matières:

Sécurité en ligne: briser l'anatomie d'un courrier électronique de phishing
Sécurité en ligne: briser l'anatomie d'un courrier électronique de phishing

Vidéo: Sécurité en ligne: briser l'anatomie d'un courrier électronique de phishing

Vidéo: Sécurité en ligne: briser l'anatomie d'un courrier électronique de phishing
Vidéo: Word - Volet de navigation partie 1 : Réorganiser un document - YouTube 2024, Avril
Anonim
Dans le monde d’aujourd’hui où toutes les informations sont en ligne, le phishing est l’une des attaques en ligne les plus répandues et les plus dévastatrices, car vous pouvez toujours nettoyer un virus, mais si vos coordonnées bancaires sont volées, vous avez des problèmes. Voici le détail d’une attaque de ce type que nous avons reçue.
Dans le monde d’aujourd’hui où toutes les informations sont en ligne, le phishing est l’une des attaques en ligne les plus répandues et les plus dévastatrices, car vous pouvez toujours nettoyer un virus, mais si vos coordonnées bancaires sont volées, vous avez des problèmes. Voici le détail d’une attaque de ce type que nous avons reçue.

Ne croyez pas que ce sont uniquement vos coordonnées bancaires qui importent: après tout, si une personne acquiert le contrôle de votre compte, elle ne connaît pas seulement les informations contenues dans ce compte, mais il y a de fortes chances pour que les mêmes informations de connexion soient utilisées pour d'autres sources. comptes. Et s'ils compromettent votre compte de messagerie, ils peuvent réinitialiser tous vos autres mots de passe.

Donc, en plus de garder des mots de passe forts et variables, vous devez toujours être à l'affût des faux emails qui se font passer pour des vrais. Bien que la plupart des tentatives de phishing soient de nature amateur, certaines sont assez convaincantes, il est donc important de comprendre comment les reconnaître au niveau de la surface et comment elles fonctionnent sous le capot.

Image par asirap

Examiner ce qui est à la vue

Notre exemple de courrier électronique, comme la plupart des tentatives de phishing, vous "notifie" toute activité sur votre compte PayPal qui, dans des circonstances normales, serait alarmante. L'appel à l'action consiste donc à vérifier / restaurer votre compte en soumettant à peu près toutes les informations personnelles auxquelles vous pouvez penser. Encore une fois, c'est une belle formule.

Il existe certes des exceptions, mais presque tous les courriels de phishing et d'arnaques sont chargés avec des drapeaux rouges directement dans le message. Même si le texte est convaincant, vous pouvez généralement trouver de nombreuses erreurs dans le corps du message qui indiquent que le message n'est pas légitime.

Le corps du message

À première vue, c’est l’un des meilleurs emails de phishing que j’ai vu. Il n'y a pas de fautes d'orthographe ou de grammaire et le verbiage se lit selon vos attentes. Cependant, il existe quelques indicateurs que vous pouvez observer lorsque vous examinez le contenu de plus près.
À première vue, c’est l’un des meilleurs emails de phishing que j’ai vu. Il n'y a pas de fautes d'orthographe ou de grammaire et le verbiage se lit selon vos attentes. Cependant, il existe quelques indicateurs que vous pouvez observer lorsque vous examinez le contenu de plus près.
  • "Paypal" - Le cas correct est "PayPal" (majuscule P). Vous pouvez voir que les deux variantes sont utilisées dans le message. Les entreprises sont très délibérées avec leur image de marque. Il est donc peu probable qu'une telle opération réussisse le processus de vérification.
  • “Allow ActiveX” - Combien de fois avez-vous vu une entreprise Web légitime, de la taille de Paypal, utiliser un composant propriétaire qui ne fonctionne que sur un seul navigateur, en particulier lorsqu'il prend en charge plusieurs navigateurs? Certes, une entreprise le fait quelque part, mais c'est un drapeau rouge.
  • “Solidement.” - Notez que ce mot ne s'aligne pas dans la marge avec le reste du texte du paragraphe. Même si j’étire un peu plus la fenêtre, elle n’est pas enveloppée ni espace correctement.
  • "Paypal!" - L'espace avant le point d'exclamation semble gênant. Juste une autre bizarrerie qui, j'en suis sûre, ne serait pas dans un email légitime.
  • "PayPal- Account Update Form.pdf.htm" - Pourquoi PayPal attacherait-il un "PDF", en particulier lorsqu'il pouvait simplement créer un lien vers une page de son site? En outre, pourquoi voudraient-ils essayer de déguiser un fichier HTML en PDF? C'est le plus grand drapeau rouge de tous.

L'en-tête du message

Lorsque vous consultez l'en-tête du message, deux autres drapeaux rouges apparaissent:
Lorsque vous consultez l'en-tête du message, deux autres drapeaux rouges apparaissent:
  • L'adresse de départ est [email protected].
  • L'adresse est manquante. Je ne l'ai pas effacé, il ne fait tout simplement pas partie de l'en-tête de message standard. En règle générale, une entreprise portant votre nom personnalisera le courrier électronique.

L'attachement

Lorsque j'ouvre la pièce jointe, vous pouvez voir immédiatement que la mise en page n'est pas correcte car il manque des informations de style. Encore une fois, pourquoi PayPal enverrait-il par courrier électronique un formulaire HTML alors qu’il pourrait simplement vous donner un lien sur son site?

Remarque: Pour cela, nous avons utilisé la visionneuse de pièces jointes HTML intégrée à Gmail, mais nous vous recommandons de NE PAS OUVRIR les pièces jointes des arnaqueurs. Jamais. Déjà. Ils contiennent très souvent des exploits qui vont installer des chevaux de Troie sur votre PC pour voler les informations de votre compte.

En descendant un peu plus, vous pouvez voir que ce formulaire demande non seulement nos informations de connexion PayPal, mais également des informations bancaires et de carte de crédit. Certaines images sont brisées.
En descendant un peu plus, vous pouvez voir que ce formulaire demande non seulement nos informations de connexion PayPal, mais également des informations bancaires et de carte de crédit. Certaines images sont brisées.
Il est évident que cette tentative de phishing vise tout d'un seul coup.
Il est évident que cette tentative de phishing vise tout d'un seul coup.

La panne technique

Il devrait être assez clair, compte tenu de ce qui est en vue, qu'il s'agit d'une tentative de phishing, mais nous allons maintenant décomposer la composition technique de l'email et voir ce que nous pouvons trouver.

Informations de la pièce jointe

La première chose à regarder est la source HTML du formulaire de pièce jointe qui est ce qui soumet les données au site fictif.

Lorsque vous visualisez rapidement la source, tous les liens apparaissent comme valides, car ils pointent vers «paypal.com» ou «paypalobjects.com», qui sont tous deux légitimes.

Nous allons maintenant examiner certaines informations de base que Firefox rassemble sur la page.
Nous allons maintenant examiner certaines informations de base que Firefox rassemble sur la page.
Comme vous pouvez le constater, certains graphiques sont extraits des domaines «blessedtobe.com», «goodhealthpharmacy.com» et «pic-upload.de» au lieu des domaines légitimes de PayPal.
Comme vous pouvez le constater, certains graphiques sont extraits des domaines «blessedtobe.com», «goodhealthpharmacy.com» et «pic-upload.de» au lieu des domaines légitimes de PayPal.
Image
Image

Informations provenant des en-têtes de courrier électronique

Nous examinerons ensuite les en-têtes de messages bruts. Gmail le rend disponible via l'option de menu Afficher l'original du message.

En regardant les informations d'en-tête du message d'origine, vous pouvez voir que ce message a été composé à l'aide d'Outlook Express 6. Je doute que PayPal compte sur un membre du personnel qui envoie chacun de ces messages manuellement via un client de messagerie obsolète.
En regardant les informations d'en-tête du message d'origine, vous pouvez voir que ce message a été composé à l'aide d'Outlook Express 6. Je doute que PayPal compte sur un membre du personnel qui envoie chacun de ces messages manuellement via un client de messagerie obsolète.
En regardant maintenant les informations de routage, nous pouvons voir l'adresse IP de l'expéditeur et du serveur de messagerie relais.
En regardant maintenant les informations de routage, nous pouvons voir l'adresse IP de l'expéditeur et du serveur de messagerie relais.
L'adresse IP «Utilisateur» est l'expéditeur d'origine. En effectuant une recherche rapide sur les informations IP, nous pouvons voir que l’adresse IP d’envoi se trouve en Allemagne.
L'adresse IP «Utilisateur» est l'expéditeur d'origine. En effectuant une recherche rapide sur les informations IP, nous pouvons voir que l’adresse IP d’envoi se trouve en Allemagne.
Et lorsque nous examinons le serveur de messagerie relais (mail.itak.at), nous pouvons constater que l’adresse IP est un fournisseur de services Internet basé en Autriche. Je doute que PayPal achemine ses e-mails directement par l'intermédiaire d'un fournisseur de services Internet basé en Autriche quand ils disposent d'une énorme batterie de serveurs capable de gérer facilement cette tâche.
Et lorsque nous examinons le serveur de messagerie relais (mail.itak.at), nous pouvons constater que l’adresse IP est un fournisseur de services Internet basé en Autriche. Je doute que PayPal achemine ses e-mails directement par l'intermédiaire d'un fournisseur de services Internet basé en Autriche quand ils disposent d'une énorme batterie de serveurs capable de gérer facilement cette tâche.
Image
Image

Où vont les données?

Nous avons donc clairement déterminé qu'il s'agissait d'un courrier électronique d'hameçonnage et recueilli des informations sur l'origine du message, mais qu'en est-il de l'endroit où vos données sont envoyées?

Pour voir cela, nous devons d’abord enregistrer la pièce jointe HTM dans notre bureau et l’ouvrir dans un éditeur de texte. En le parcourant, tout semble en ordre, sauf lorsque nous arrivons à un bloc Javascript suspect.

En décomposant la source complète du dernier bloc de Javascript, nous voyons:
En décomposant la source complète du dernier bloc de Javascript, nous voyons:

Chaque fois que vous voyez une grande chaîne enchevêtrée de lettres et de chiffres apparemment aléatoires incorporés dans un bloc Javascript, c'est généralement quelque chose de suspect. En regardant le code, la variable "x" est définie sur cette grande chaîne puis décodée dans la variable "y". Le résultat final de la variable «y» est ensuite écrit dans le document au format HTML.

Comme la grande chaîne est composée des nombres 0 à 9 et des lettres a-f, elle est probablement encodée via une simple conversion ASCII en Hex:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

Se traduit par:

Ce n'est pas un hasard si cela décode en une balise de formulaire HTML valide qui envoie les résultats non pas à PayPal, mais à un site non autorisé.

De plus, lorsque vous affichez la source HTML du formulaire, vous constaterez que cette balise de formulaire n'est pas visible car elle est générée de manière dynamique via Javascript. C'est un moyen astucieux de masquer ce que fait le HTML si quelqu'un visualisait simplement la source générée de la pièce jointe (comme nous l'avons fait précédemment), par opposition à l'ouverture de la pièce jointe directement dans un éditeur de texte.

En exécutant un whois rapide sur le site incriminé, nous pouvons voir qu'il s'agit d'un domaine hébergé sur un hôte Web populaire, 1and1.
En exécutant un whois rapide sur le site incriminé, nous pouvons voir qu'il s'agit d'un domaine hébergé sur un hôte Web populaire, 1and1.
Ce qui ressort est que le domaine utilise un nom lisible (par opposition à quelque chose comme "dfh3sjhskjhw.net") et que le domaine est enregistré depuis 4 ans. À cause de cela, je pense que ce domaine a été détourné et utilisé comme un pion dans cette tentative de phishing.
Ce qui ressort est que le domaine utilise un nom lisible (par opposition à quelque chose comme "dfh3sjhskjhw.net") et que le domaine est enregistré depuis 4 ans. À cause de cela, je pense que ce domaine a été détourné et utilisé comme un pion dans cette tentative de phishing.

Le cynisme est une bonne défense

Lorsqu'il s'agit de rester en sécurité en ligne, il est toujours bon d'avoir un peu de cynisme.

Bien que je sois certain que l'exemple de courrier électronique comporte davantage de drapeaux rouges, nous avons signalé ci-dessus des indicateurs que nous avons vus après quelques minutes d'examen. En théorie, si le niveau de surface du courrier électronique imitait à 100% sa contrepartie légitime, l’analyse technique révélerait tout de même sa véritable nature. C'est pourquoi il est important de pouvoir examiner à la fois ce que vous pouvez et ce que vous ne pouvez pas voir.

Conseillé:

Déterminez quels comptes en ligne vendent votre courrier électronique à des spammeurs

Déterminez quels comptes en ligne vendent votre courrier électronique à des spammeurs

Je suis constamment exaspéré par la quantité de spam que je reçois tous les jours dans mon compte de messagerie. Pour citer un de mes amis: «Honnêtement, cela devrait être le problème numéro un dans le monde aujourd'hui. Oubliez la déclaration de guerre contre des pays choisis au hasard, déclarons la guerre contre le spam et instaurons la peine de mort pendant que nous y sommes! »

Comment envoyer un courrier électronique à partir de la ligne de commande sous Windows (sans logiciel supplémentaire)

Comment envoyer un courrier électronique à partir de la ligne de commande sous Windows (sans logiciel supplémentaire)

Sous Windows, il n’existe aucun moyen d’envoyer des messages en mode natif à partir de l’invite de commande, mais comme PowerShell vous permet d’utiliser le .Net Framework sous-jacent, vous pouvez facilement créer et envoyer un courrier électronique à partir de la ligne de commande.

Augmentez votre productivité en matière de rédaction de courrier électronique avec la fusion de courrier Microsoft Word

Augmentez votre productivité en matière de rédaction de courrier électronique avec la fusion de courrier Microsoft Word

Le publipostage de Microsoft Word est un excellent outil de productivité. Savoir comment créer des lignes d'objet et des pièces jointes personnalisées que la fonctionnalité de base de fusion et publipostage de Word ne prend pas en charge peut vous sauver la vie lorsque vous devez rédiger des e-mails en masse.

Comment bloquer le courrier indésirable, le courrier indésirable et le courrier indésirable dans Outlook.com

Comment bloquer le courrier indésirable, le courrier indésirable et le courrier indésirable dans Outlook.com

Découvrez comment personnaliser les paramètres de blocage du courrier indésirable, indésirable et des comptes de messagerie indésirables dans Outlook.com.

Comment signaler un courrier électronique de phishing dans Outlook

Comment signaler un courrier électronique de phishing dans Outlook

Outlook sur le Web ou Outlook.com vous permet de signaler à Microsoft des courriels de phishing dangereux. Pour signaler un courrier électronique de phishing dans le client Microsoft Outlook 2016, installez le complément de création de rapports de courrier indésirable pour Microsoft Outlook.