Глубокое погружение в расследование фишинга с помощью OSINT

Фишинговые письма по-прежнему представляют значительную угрозу как для отдельных лиц, так и для организаций. Эти вводящие в заблуждение письма предназначены для того, чтобы обманом заставить получателей разглашать свою конфиденциальную информацию, загружать вредоносные вложения или переходить по вредоносным ссылкам.

• Проведение расследования OSINT по фишинговомым письмам - важнейший навык в современном цифровом мире, позволяющий собрать как можно больше информации.

В этой статье мы предоставляем вам подробное руководство о том, как эффективно провести OSINT-расследование фишинговых писем, которое поможет вам выявить его происхождение и защитить себя от потенциальных угроз.

Итак, было получено электронное письмо, начнём!

Давайте углубимся в данные, за счёт которых мы определим по признакам, фишинговое письмо перед нами, или нет.

1. Во-первых, логотип DHL выглядит искаженным и не попадающим по оттенкам с бэкграундом, он ярко-желтый, что резко контрастирует со стандартным шаблоном подлинной корреспонденции DHL.

2. Вступительное приветствие гласит “Уважаемый клиент”, что сразу же становится тревожным сигналом из-за его общности и того факта, что в нем не указывается полное имя и фамилия получателя, что обычно присутствует в подлинных почтовых писем DHL.

3. Примечательно, что выделяется баннер с надписью “CLICK HERE TO VIEW DOCUMENT”. Важно понимать, что это сообщение можно рассматривать как яркий пример социальной инженерии.

• Отправитель манипулирует чувством срочности, заставляя получателя ознакомиться с вложением. Будьте осторожны, доступ к этому вложению может привести к вводящему в заблуждение URL-адресу с потенциально вредоносными последствиями.

По сути, эти первоначальные визуальные сигналы в совокупности формируют картину, что данное электронное письмо фишинг, нет сомнений!

Как видно из деталей письма, как “From”, так и “Return-path” идентичны, что является положительным знаком с точки зрения аутентичности. Такое согласование важно, поскольку оно отличается от типичного сценария, когда “Return-path” отличается от отображаемого адреса “From”.

Это различие имеет решающее значение, поскольку “Return-path” часто служит скрытым индикатором фактического источника электронного письма, давая представление о его истинном происхождении.

• Очевидно, что это электронное письмо, по-видимому, отправлено с домена DHL (dhl.com), который на первый взгляд кажется подлинным. Однако важно признать, что мошенники часто используют подобные методы с доменами, стремясь воспроизвести законные домены, не имея разрешения на отправку электронных писем от имени реальной компании.

Вот тут-то и вступают в игру протоколы SPF и DKIM. Они служат важнейшими инструментами, которые могут помочь в установлении подлинности таких электронных писем.

1. SPF - это система проверки электронной почты, которая подтверждает авторизованные серверы электронной почты для домена. Она предотвращает подделку электронной почты, проверяя, разрешено ли серверу отправителя отправлять электронные письма от имени этого домена.

2. DKIM добавляет цифровую подпись к заголовкам электронных писем, проверяя целостность электронного письма и подтверждая домен отправителя.

• Это гарантирует, что содержимое электронного письма не было изменено во время передачи.

В двух словах, SPF предотвращает несанкционированную отправку, в то время как DKIM проверяет как подлинность отправителя, так и целостность содержимого почты.

Давайте перейдем к анализу заголовков электронных писем, чтобы выявить сложные детали, которые могут помочь нам установить происхождение этого письма.

Ключевая информация содержится в полученном заголовке SPF. Как показано на рисунке, попытка отправителя пройти аутентификацию по SPF завершается неудачей, о чем свидетельствует отсутствие у него авторизации на отправку электронных писем от имени dhl.com.

• Это несоответствие сигнализирует о угрозе, поскольку отправитель не входит в число разрешенных объектов, которым разрешено использовать домен dhl.com.

Кроме того, IP-адрес отправителя предоставляет дополнительные возможности для расследования. Этот IP-адрес можно сопоставить с базами данных репутации IP, чтобы выявить любую предыдущую причастность к подозрительным или вредоносным действиям. Тщательно изучая эти детали, мы получаем более четкое представление о легитимности электронного письма и потенциальном риске, который оно представляет.

Давайте введем IP-адрес отправителя в Virus Total, чтобы проверить предыдущие обнаружения:

Как вы можете видеть, у этого IP-адреса плохая история обнаружений, давайте также проверим на Criminal IP.

Теперь мы можем проверить этот IP на наличие личных данных, но к сожалению, этот IP размещен на SingleHop, и мы не можем получить больше информации о злоумышленнике.

Теперь перейдем к анализу URL-адреса

При нажатии на ссылку “VIEW DOCUMENT” в электронном письме нас перенаправляет на данный веб-сайт.

Эта ссылка ведет нас на поддельную страницу входа в DHL, для того, чтобы обманом заставить пользователей непреднамеренно выдать свои учетные данные. Давайте рассмотрим явные признаки, которые раскрывают эту мошенническую схему:

Прежде всего, на глаза бросается сам URL-адрес, заметно отличающийся от подлинного домена DHL. Это расхождение сразу же ставит под сомнение подлинность страницы. Более того, сложная структура URL-адреса служит дополнительным показателем его сомнительного происхождения.

• Элементом, заслуживающим внимания, является наличие адреса электронной почты пользователя, встроенного в URL. Эта тактика является классическим примером социальной инженерии, хитроумно разработанной для того, чтобы вызвать у пользователя чувство знакомства и узнаваемости.

Дальнейшее изучение имитированной страницы входа в систему выявляет предварительно заполненный адрес электронной почты (osint@osint.com), введенный в поле для входа. Этот маневр является еще одним проявлением СИ.

• По сути, сочетание этих методов на поддельной странице входа в DHL подчеркивает подход злоумышленников к манипулированию пользователем и краже конфиденциальной информации.

Чтобы углубиться в расследование этой обманчивой страницы входа в систему и отследить назначение украденных учетных данных, необходимо запустить мониторинг сетевого трафика.

Это включает в себя тщательное изучение потока запросов и ответов в сетевой среде, чтобы выявить скрытые пути, используемые мошенниками.

Поступая таким образом, мы можем пролить свет на то, куда отправляются скомпрометированные учетные данные.

Хотя обычная функция щелчка правой кнопкой мыши отключена на этой конкретной странице входа, все еще существует способ, который позволяет нам получить доступ к базовой структуре. Используя сочетание клавиш Ctrl + Shift + I, мы можем эффективно открыть “Просмотреть код”.

• Этот функция браузера предоставляет нам возможность анализировать исходный код страницы, давая представление о его составе и потенциально выявляя скрытые аспекты, которые являются неотъемлемой частью нашего исследования.

Наш следующий шаг включает переход в раздел “Network” в меню. Оказавшись там, мы введем пароль (osint1234test) на странице входа в систему. Прежде чем нажать кнопку “Continue”, мы запустим процесс записи сетевого журнала.

Это позволит нам уловить и проанализировать сетевую активность, которая проявляется в результате взаимодействия со страницей. Поступая таким образом, мы можем раскрыть действующие скрытые механизмы и получить важную информацию об обмене данных, который происходит на этом критическом этапе нашего расследования.

По мере продолжения нашего расследования примечательным явлением является появление записи “post.php” в заголовках. Эта запись раскрывает важную часть информации — URL-адрес запроса (https://tranxer.top/ved24augdhlk/post.php), на который отправляются украденные учетные данные.

Кроме того, важной деталью, которую мы можем подчеркнуть из сетевого журнала, является код состояния в реальном времени, связанный с веб-сайтом. В данном случае код читается как “200”, что означает, что веб-сайт работает и реагирует на запросы.

• Это оперативное подтверждение статуса подчеркивает вредоносный характер веб-сайта, поскольку он активно функционирует для перехвата и сбора предоставленной информации.

Мы также можем перейти в раздел “Payload” и просмотреть введенные нами учетные данные, которые отправляются стороне злоумышленника.

Хитрая тактика, которая заключается в манипулировании полями страницы входа для генерации вводящих в заблуждение ответов, таких как “password timeout” или “try again”.

Это организованно с определенной целью — заставить пользователей повторно вводить свои учетные данные. Предлагая пользователям повторно вводить свою информацию, они стремятся обеспечить соответствие предоставленных учетных данных и их последовательность.

Однако сюжет усложняется. При повторном представлении учетных данных раскрывается гнусный поворот. Пользователь перенаправляется на изображение, тщательно замаскированное под поддельный веб-сайт DHL. Это изображение как пыль в глаза, скрывающая истинные намерения атаки и создаёт иллюзию легитимности.

Этот многоуровневый подход в сочетании с использованием поведения пользователей и манипуляцией визуальными элементами подчеркивает тщательное планирование и изощренность, которые определяют эту схему фишинга.

Теперь давайте углубимся в суть расследования. Изучая URL-адрес ответа, мы стремимся получить критическую информацию, которая потенциально может раскрыть намерения и происхождение этой вредоносной кампании.

Наше внимание переключается на проведение OSINT-анализа домена, на который отправляются скомпрометированные учетные данные. В ходе этого процесса мы постараемся собрать исчерпывающую информацию о домене, проливающую свет на его владельца.

Изучая данные OSINT, относящиеся к этому домену, мы можем собрать воедино более полную картину, раскрывающую более широкую информацию.

• Этот этап расследования является ключевым, поскольку он может привести нас к ценным показателям, которые помогут нам понять мотивы и потенциальные контрмеры.

Домен злоумышленника - tranxer.top

Используем Web Check, чтобы получить больше информации о домене, как вы можете видеть, там есть удобный пользовательский интерфейс, который предоставляет всю необходимую информацию об этом домене.

На представленном изображении перед нами раскрывается множество важной информации.

Мы можем видеть информацию о сертификате SSL, наряду с этим в поле зрения попадают записи DNS, раскрывающие детали, лежащие в основе функциональности домена.

• Эта запутанная сеть записей представляет собой дорожную карту, демонстрирующую, как домен функционирует.

Не меньшее значение имеет IP-адрес, служащий цифровым отпечатком сервера, на котором размещен данный фишинг.

• Примечательное открытие вытекает из массива имен хостов. Эти имена инкапсулируют сеть подключений, потенциально проливая свет на сеть доменов.

Я также могу видеть открытые порты и взимодействовать с ними:)

Я также могу увидеть скриншот домена, внутренние ссылки, MX-записи и т.д.

Кажущийся безобидным веб-сайт служит большему, чем кажется на первый взгляд. На самом деле, он работает как динамический веб-сервер (Open directory), предоставляя нам возможность взаимодействовать и исследовать.

Эта интерактивная платформа служит виртуальной площадкой, где мы можем копать глубже, стремясь раскрыть дополнительные слои, которые могут дать представление о неуловимом субъекте, стоящем за этой схемой.

• Взаимодействуя с этим веб-сервером, мы открываем дверь в царство возможностей. Путем тщательного изучения мы можем наткнуться на важные улики, цифровые отпечатки или даже прямые связи, которые приблизят нас к разгадке личности и мотивов.

Вот майндкарта по этапам расследования, которая может вам помочь:

Теперь давайте проверим IP, связанный с этим доменом. (185.198.59.26)

Мы видим, что этот IP известен как вредоносный в VT и связан с фишингом и вредоносным ПО.

Этот IP также связан с BITTER APT.

https://attack.mitre.org/groups/G1002/

Я также подключил этот домен к urlscan для проверки на вредоносную активность.

• Как вы можете видеть, по этому IP-адресу поступает много обращений, также связанных с крипто-мошенничеством.

Также замечено, что на этом сервере размещено более 200 доменов.

Есть также похожие обращения к фишинговому веб-сайту.

Я также искал информацию по Censys и получил много полезной информации для дальнейшего расследования. (ОС, обратный DNS, местоположение, протокол)

• Ссылка на Censys

Не забывайте сообщать о таких веб-сайтах, чтобы помочь рядовым пользователям, которые не могут проводить подобные расследования.(например, наше старшее поколение)

В ходе этого исследования я использовал ресурс, который зарекомендовал себя как неоценимый актив. Он органично объединяет множество незаменимых инструментов, веб-сайтов и инновационных идей, и все это разработано для использования возможностей общедоступных источников.

• Ссылка на ресурс

Эти ресурсы дали мне возможность копать глубже, раскрывая скрытые слои информации. Используя её, я смог расширить свои возможности для проведения эффективных расследований OSINT.

В данном конкретном случае получение личной информации с веб-сайта WHOIS оказалось недостижимым. Тем не менее, если бы обстоятельства сложились иначе, можно было бы начать обширное расследование OSINT.

Это сложное расследование включало бы тщательное изучение учетных записей субъекта в социальных сетях, переписки по электронной почте, географических координат и т.д. Такой комплексный подход обеспечивает всестороннее понимание цифрового следа человека, потенциально раскрывая спектр важных сведений.

Заключение

Мощь OSINT невозможно переоценить. Он дает нам возможность активно ориентироваться в пространстве, вооружившись инструментами, которые выходят за рамки поверхностного.

Тщательно анализируя фишинговые электронные письма, изучая их происхождение, тщательно изучая домены и отслеживая пути вредоносных действий, мы получили множество информации.