от Lucifer

6457165789_dccab629ecВчера писах за правилата на магьосника, нали помните? А помните ли първото?

„Хората са глупави!“ – с правилното условие са готови да повярват на почти всичко. Пример за това е случай, е случката, която ми се наложи да разследвам.

С две думи – една девойка получава предложение за интервю за работа, след явяването, само за да види какво е, отказва предложената работа. Няколко месеца по-късно получава съобщение, което по вид симулира, това за първото интервю за работа, но този път изисква малко по-задълбочена информация.

Всичко хубаво, но това писмо се оказва клопка. Девойката не изнася информацията, но самият отговор на писмото я компроментира пред шефовете и (които по всяка вероятност стоят зад тази фишинг атака), което заплашва работата и. Самото писмо дори не е маскирано. Не е с променен подател, просто самото име и начина на писане наподобяват тези на оригиналното писмо. Това дори не е класическа фишинг атака … по-скоро опит за социална инжинерия, използващ предварителното знание за комуникация (което говори, че в личната и поща е прониквало лице от фирмата).

Но какво все пак е фишинг (използвам термина за трети път) атака?

С думи прости – фишинг атаката има за цел да ви накара да клъвнете, от там и името (Fishing – риболов). В повечето случаи, атакуващия се опитва да се представи за легитимен подател. Има много начини това да се направи. Най-често се използват свободни SMTP сървъри, които позволяват всеки да изпише какъвто e-mail иска за подател. Това е възможно, защото в чистия си вид SMTP като протокол е предвиден да се използва от честни и културни хора. Чак в по-късни иритерации на отделни програми за SMTP пращане се появява идентификацията на потребителя … но това е един друг въпрос.

В 80% от случаите (дори в перфектно замислените такива, а тук говорим за half assed опит, който въпреки това успява) има някои неща които не могат да бъдат „променени“ и това са така наречените заглавки на писмото. Ако имате дори най-малко съмнение, че нещо не е наред с писмото, отворете заглавките и погледнете за няколко основни неща:

Разминаване между

Return-Path:

From:

и Reply-To:

Не винаги това е показателно, но понякога е точно толкова просто.

Също така трябва да се внимава за поредицата от Recieved: редове в заглавката, които показват цялата поредица от bounce (отскачащи) сървъри. Ако дори един от тях ви се стори компроментиран, то най-добре да приемете, че това е фишинг атака и да игнорирате писмото.

Разбира се има възможност писмото да има различен сървър за recieved и той да се разминава като домейн с @домейн-а на изпращача. Това става например, ако изпратя писмо от някоя от пощите на f-bg.org които се помещават като виртуален домейн на anavaro.com. За да проверите това, можете да използвате nslookup – едно удобно средство, което ви позволява да видите какво IP се крие зад даден домейн …

Но това разбира се е ако най-важната проверка е премината и тя е – потребителя е идентифициран от вас. Като в примера, който преглеждах днес – мартенското писмо е изпратено от Nqkoi.Si маймунка firma.co.uk, а писмото изпратено преди седмица е nqkoqsi_firma маймунка yahoo.co.uk. Не че нещо, но това е очеизваждащо …

Тук дори не говоря за семантичен разбор и анализ на двете получени писма, от които едното се придържа към стандартната корпоративна форма на комуникация, запазвайки точните обръщения, докато второто писмо е много по разговорно и няма правилна позиция на имената в подписа …

Разбира се има начини за подписване на писмата (лично аз използвам PGP), но това е вече за напреднали …

Моля ви, не рискувайте и си отваряйте очите. И репликата „Че кой ще ти гледа от кого е писмото“ не е извинение …

Ваш,

Lucifer

Пост 41 от 60

 

Снимка: ivanpw

Вашият коментар

Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните ви за коментари.