Простое руководство по выявлению фишинга

1. АНАЛИЗ ЗАГОЛОВКА

Элек­трон­ное пись­мо сос­тоит из трех час­тей — заголов­ка, основной час­ти (тела) и иног­да вло­жения. В заголов­ке пред­став­лена мар­шрут­ная информа­ция сооб­щения. Он может содер­жать и дру­гие све­дения — тип кон­тента, дан­ные отпра­вите­ля и адре­сата, дату получе­ния, абсо­лют­ный адрес отпра­вите­ля, адрес поч­тового сер­вера и реаль­ный адрес элек­трон­ной поч­ты, с которо­го или на который было отправ­лено сооб­щение.

• Важные заголовки

Return-Path

Ад­рес элек­трон­ного пись­ма Return-Path содер­жит информа­цию о ста­тусе дос­тавки. Поч­товый сер­вер чита­ет содер­жимое заголов­ка Return-Path для обра­бот­ки недос­тавлен­ных или воз­вра­щен­ных отпра­вите­лю писем. Сер­вер получа­теля исполь­зует это поле для иден­тифика­ции «под­дель­ных» писем: зап­рашива­ет все раз­решен­ные IP-адре­са, свя­зан­ные с доменом отпра­вите­ля, и сопос­тавля­ет их с IP-адре­сом авто­ра сооб­щения. Если сов­падений нет, элек­трон­ное пись­мо отправ­ляет­ся в спам.

Received

Это поле отоб­ража­ет све­дения обо всех сер­верах, через которые прош­ло элек­трон­ное пись­мо. Пос­ледняя запись — пер­воначаль­ный адрес отпра­вите­ля.

Reply-To

Ад­рес элек­трон­ной поч­ты в этом поле исполь­зует­ся для отправ­ки ответно­го сооб­щения. В под­дель­ных пись­мах он может отли­чать­ся от адре­са отпра­вите­ля.

Received-SPF

Ме­тод SPF (Sender Policy Framework, инфраструк­тура полити­ки отпра­вите­ля) под­твержда­ет, что сооб­щения с кон­крет­ного домена были отправ­лены с сер­вера, который кон­тро­лиру­ется вла­дель­цем это­го домена. Если зна­чение это­го поля — Pass («Про­вер­ка прой­дена»), источник пись­ма счи­тает­ся под­линным.

DKIM

Служ­ба DKIM (Domain Keys Identified Mail, email с домен­ными клю­чами) отме­чает исхо­дящую поч­ту зашиф­рован­ной под­писью внут­ри заголов­ков, а поч­товый сер­вер получа­теля рас­шифро­выва­ет ее, исполь­зуя откры­тый ключ сов­мес­тно­го поль­зования, что­бы убе­дить­ся, что сооб­щение не было изме­нено при пересыл­ке.

X-Headers

Этим тер­мином обоз­нача­ются экспе­римен­таль­ные заголов­ки или заголов­ки рас­ширения. Обыч­но они добав­ляют­ся пос­тавщи­ками услуг элек­трон­ной поч­ты получа­теля. Для обна­руже­ния спа­ма исполь­зуют­ся поля типа X-FOSE-Spam и X-Spam-Score.

Рас­смот­рим сле­дующее элек­трон­ное сооб­щение.

исходные данные в заголовке электронного письма

В при­веден­ном выше при­мере вид­но, что обратный путь не сов­пада­ет с адре­сом в поле From («От»). Это озна­чает, что все недос­тавлен­ные пись­ма будут воз­вра­щены по пер­вому адре­су.

2. В поле Received («Получе­но») имя домена, с которо­го пись­мо было отправ­лено, — hiworks.co.kr (сайт для мас­киров­ки отпра­вите­ля элек­трон­ных писем), а не gki.com. Мож­но сде­лать вывод: пись­мо под­дель­ное. Кро­ме того, по резуль­татам про­вер­ки IP-адрес (142.11.243.65) не сов­пада­ет с адре­сом gki.com.

3. Ад­рес отпра­вите­ля From отли­чает­ся от адре­са в поле Reply-To. Таким обра­зом, ответ на пись­мо будет нап­равлен в поч­товый ящик на домене @gmail.com, а не @gki.com.

4. Зна­чение поля Received-SPF — neutral («ней­траль­но»); домен gki.com не дает в отно­шении IP-адре­са (142.11.243.65) ни раз­решения, ни зап­рета. Даль­нейшая про­вер­ка Whois выяви­ла, что этот домен не свя­зан с IP-адре­сом 142.11.243.65.

5. Зна­чение поля DKIM — none («нет»). Это озна­чает, что элек­трон­ное пись­мо не под­писано.

Су­дя по все­му, дан­ное сооб­щение под­дель­ное. Извле­чен­ные из пись­ма иден­тифика­цион­ные дан­ные необ­ходимо внес­ти в чер­ный спи­сок.

2. АНАЛИЗ ТЕЛА ПИСЬМА

Те­ло фишин­гового пись­ма — основная часть элек­трон­ного сооб­щения, имен­но его содер­жание приз­вано обма­нуть поль­зовате­ля. Содер­жимое сооб­щения адре­сова­но лич­но получа­телю и выг­лядит нас­толь­ко прав­доподоб­ным, что жер­тва час­то попада­ется в ловуш­ку зло­умыш­ленни­ка.

фишинговое письмо от злоумышленника на тему COVID-19

Спа­мер пред­став­ляет­ся пос­тавщи­ком услуг медицин­ско­го стра­хова­ния. Пись­мо содер­жит информа­цию о сче­те на опла­ту стра­хов­ки на слу­чай заболе­вания COVID-19, которую жер­тва яко­бы заказа­ла недав­но.

фишинговое письмо от злоумышленника на тему COVID-19(продолжение)

Кро­ме того, в кон­це сооб­щения име­ется стро­ка «Это пись­мо было про­вере­но McAfee». Бла­года­ря это­му пись­мо выг­лядит безопас­ным.

Од­нако если мы наведем кур­сор мыши на кноп­ку «Под­робнее» (See Details), то уви­дим ссыл­ку на сер­вис OneDrive. Вмес­то того что­бы нажать эту ссыл­ку, ско­пиру­ем ее и откро­ем в бра­узе­ре.

Ска­чан­ный по ссыл­ке OneDrive файл HTML

Не­зави­симый переход по ссыл­кам из спа­ма и фишин­говых писем (hxxps://1drv.ms/u/s!Ajmzc7fpBw5lrzwfPwIkoZRelG4D) луч­ше выпол­нять в изо­лиро­ван­ной сре­де. Если у тебя нет такой сре­ды, пос­тавь вир­туал­ку или вос­поль­зуйся сер­висом кросс‑бра­узер­ного тес­тирова­ния, нап­ример Browserling.

Ссыл­ка ведет на HTML-стра­ницу, которая редирек­тит нас на дру­гой сайт:

hxxps://selimyildiz.com.tr/wp-includes/fonts/greec/xls/xls/open/index.htm

Фаль­шивая стра­ница вхо­да в Office 365

Эта веб‑стра­ница похожа на стра­ницу онлайн‑при­ложе­ния Microsoft Excel с зап­росом дос­тупа к Office 365 для ска­чива­ния докумен­та.

Па­нель адми­нис­тра­тора WordPress сай­та selimyildiz.com.tr

Что­бы про­верить под­линность стра­ницы, сок­ратим URL до уров­ня домена и выпол­ним заг­рузку. Домен пере­адре­сует нас на стра­ницу вхо­да в панель адми­нис­три­рова­ния сай­та под управле­нием WordPress. Собс­твен­но, уже на этом эта­пе ста­новит­ся оче­вид­ным, что мы име­ем дело с фишин­гом.

Ин­форма­ция whois о сай­те selimyildiz.com.tr

Сог­ласно дан­ным служ­бы whois, домен не был зарегис­три­рован Microsoft и соот­ветс­тву­ет пуб­лично­му IP-адре­су 2.56.152.159, который так­же не при­над­лежит Microsoft. Эти дан­ные явно сви­детель­ству­ют о том, что откры­тый по ссыл­ке сайт соз­дан мошен­никами.

По­пыт­ка вхо­да с про­изволь­ными рек­визита­ми для аутен­тифика­ции

Для про­вер­ки поведе­ния сай­та вер­немся на стра­ницу вхо­да, вве­дем про­изволь­ный логин и пароль и попыта­емся ска­чать счет. Как и ожи­далось, стра­ница выда­ет ошиб­ку, а ука­зан­ные дан­ные из фор­мы бла­гопо­луч­но ушли зло­умыш­ленни­кам.

Фаль­шивый счет для прив­лечения вни­мания

Итак, теперь мы зна­ем, что это под­дель­ный сайт. Что делать даль­ше? Что­бы про­верить фун­кцию аутен­тифика­ции, вновь вве­дем про­изволь­ные рек­визиты. Теперь они при­няты! На этот раз бра­узер откры­вает в фор­мате PDF счет, который выг­лядит под­линным, отправ­ленным некой медицин­ской ком­пани­ей. Одна­ко к тому вре­мени, ког­да жер­тва пой­мет, что это фаль­шивый счет, ее логин и пароль будут уже похище­ны.

3. ЗАКЛЮЧЕНИЕ

В этой статье мы рас­смот­рели поиск приз­наков фишин­га в элек­трон­ном пись­ме, а так­же то, как эта про­цеду­ра помога­ет в про­филак­тике неиз­вес­тных угроз. Были опре­деле­ны области, в которых сле­дует искать эти приз­наки. Мы узна­ли, как прес­тупни­ки скры­вают вре­донос­ные URL в теле элек­трон­ного пись­ма и какие дей­ствия необ­ходимы для их про­вер­ки.

Что делать, что­бы обе­зопа­сить себя:

Ни­ког­да не доверяй отпра­вите­лю элек­трон­ного пись­ма. Всег­да про­веряй основные иден­тифика­цион­ные дан­ные, преж­де чем отве­тить на пись­мо.

Не перехо­ди по ссыл­кам и не откры­вай вло­жения, если отпра­витель пись­ма не тот, кем он пред­ста­вил­ся.

Зло­умыш­ленни­ки час­то исполь­зуют про­изволь­ные име­на доменов. По этой при­чине тща­тель­но про­веряй адрес сай­та на наличие «опе­чаток» — это может быть ресурс, зарегис­три­рован­ный спе­циаль­но, что­бы ввес­ти тебя в заб­лужде­ние.

Пе­реп­роверяй про­исхожде­ние сай­та, преж­де чем ввес­ти свои пер­сональ­ные дан­ные — имя, адрес, рек­визиты дос­тупа, финан­совые све­дения и про­чие.

Ес­ли ты понял, что ввел рек­визиты дос­тупа на подоз­ритель­ном сай­те, немед­ленно сме­ни пароль.